Høringssvar - Revisjon av finansavtaleloven (PSD2 og e-id)

Like dokumenter
Digital Agenda for Norge

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

Ny postregulering - høringsuttalelse

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

eidas ny lov om tillitstjenester og e-id-rammeverket revideres: Hva betyr dette for helsesektoren? Normkonferansen Jon B.

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Høringsnotat. Innhold. 1. Innledning

Høringssvar - Langsiktig strategi for Altinn

Høringsuttalelse Gjennomføring av EUs forordning om elektronisk identifisering (eid) og tillitstjenester

Høring - forslag til strategi for bruk av eid og e-signatur i offentlig sektor. Trondheim kommune Malvik kommune Stjørdal kommune Frosta kommune

Høringssvar - Endringer i eforvaltningsforskriften - Digital kommunikasjon som hovedregel

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

PSD 2 hva er status? Jan Digranes, Finans Norge.

Karl Georg Øhrn (e.f.) avdelingsdirektør Trond Risa seniorrådgiver

Difis fellesløsninger til offentlig sektor status og muligheter

Høringssvar - utveksling av personopplysninger for å bekjempe arbeidslivskriminalitet

Nasjonalt eid-program

PSD 2 i et bankperspektiv

Høringsuttalelse Ny finansavtalelov

Høringsuttalelse til høring utkast til regler tilsvarende EUs reviderte betalingsdirektiv

Nye felles løsninger for eid i offentlig sektor

Høringsuttalelse fra VBB AS Forskrift om betalingstjenester

PSD 2 i et bankperspektiv

Høringsnotat. Innhold. Innledning

Saksframlegg. Trondheim kommune. Høring - forslag til strategi for bruk av eid og e-signatur i offentlig sektor Arkivsaksnr.

Høring - Anbefalt standard for transportsikring av epost

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Status for arbeidet med ID-Porten, eid i markedet

Digitalt først og fremst. Bærum Seniornett 11. Februar Bekkestua Bibliotek.

Elektroniske tjenester i offentlig sektor - Difis rolle. Hans Christian Holte

Direktoratet for forvaltning og IKT (Difi) viser til mottatt høringsbrev av

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Høringssvar - ny folkeregisterforskrift

Nasjonale fellesløsninger i effektivt samspill med sak- og arkivsystem. Torgeir Strypet

NOU 2018:7 Ny lov om offisiell statistikk - høringssvar fra Direktoratet for forvaltning og IKT

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

ID-porten Utviklingsplan 2016

Kompetanseutvikling for deg som jobber i staten

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

SAKSFRAMLEGG. Forum: Skate Møtedato:

ID-porten Utviklingsplan 2017

Innspill til høring om energi- og miljøkrav ved kjøp av kjøretøy

EUs reviderte betalingstjenestedirektiv PSD2

Felles sikkerhetsinfrastruktur for elektronisk kommunikasjon med offentlig sektor.

Kristian Bergem. Direktoratet for forvaltning og IKT

Hva løser ID-porten?

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv

IT-PERSPEKTIVET I FINANSNÆRING. FINANCEWORLD 2014 Idar Kreutzer, adm. dir. Finans Norge

Høring - Unntak fra forskrift om offentlige anskaffelser for kjøp av helse- og sosialtjenester til enkeltbrukere

OVERORDNET BILDE AV NORSK FINANSNÆRING OG UTFORDRINGER I ET IT-PERSPEKTIV

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling

NOU 2012:14 Rapport fra 22. juli kommisjonen høringssvar fra Direktoratet for forvaltning og IKT

Styring og samordning av IKT i offentlig sektor

Forslag til ny finansavtalelov

Standardiseringsrådet 17.3

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

ARKIVVERKETS AMBISJONER. Digitalt to dager til ende 9. November 2017

Difi. Digitalisering av offentlig sektor. Offentlig sektor er ikke en enhet

Digitalisering av offentlig sektor

Deres ref Vår ref Dato

DIFI nasjonale fellesløsninger for offentleg sektor

Høring - Hindre for digital verdiskapning - Rapport fra utvalg som har vurdert muligheter og hindringer for digital verdiskapning

Vedrørende pkt. 2 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?

Høringssvar - Evaluering av offentleglova

Derfor trenger du BankID på nettstedet ditt

Krav til digitalisering i stat og kommune

E-helse har noen innspill til enkelte av de foreslåtte endringene i reseptformidlerforskriften.

Difi et kompetansemiljø for innovasjon i offentlig sektor

PAYMENT SERVICES DIRECTIVE # 2 MIF-REGULATION BANK ACCOUNT PACKAGE. Betalingsformidlingskonferanse Kjell-Arild Rein

Samordning, samarbeid og samhandling

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Hva skjer av endringer i forvaltningen?

Digital signatur fra Skanska

Digital agenda for Norge - IKT for en enklere hverdag og økt produktivitet

Elektroniske MEG! Hvordan Difi bidrar til utvikling av elektroniske tjenester. Servicekonferansen 2010

Meddelelse - statlig fellesavtale mobiltelefoner og nettbrett

Sak 3/18 Sluttbehandling av Etablere enhetlig arkitekturrammeverk (ST 2.2) Skate-møtet 21.mars 2018

Digitalt førstevalg Norge

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Deres ref Vår ref Dato

Høringssvar - ny forskriftsbestemmelse om miljø i regelverket for offentlige anskaffelser

Brønnøysundregistrene som tilrettelegger for innovasjon og verdiskaping

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

eidas sikker digitalisering av Europa

IKT-STRATEGI

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Bilag 6 Vedlegg 6 Kundens organisering og prosesser

PSD2 OG «OPEN BANKING»

Offentlig digitalisering i siget

Felles sikkerhetsportal for elektronisk kommunikasjon med offentlig sektor.

Digital strategi for HALD Februar 2019

Høring Forslag til Europaparlaments- og rådsdirektiv om kredittavtaler i forbindelse med fast eiendom til boligformål (COM (2011) 142 final)

Tekniske, semantiske og organisatoriske utfordringer for samhandling i offentlig sektor. Endre Grøtnes FINF 4001 høst 2011

Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat

Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening

Regjeringens digitaliseringsstrategi Fornye forbedre forenkle

Kompetanseutvikling for deg som jobber i staten

Regelrådets uttalelse. Om: Høring forskrifter til ny sikkerhetslov Ansvarlig: Forsvarsdepartementet

Hva har BankID betydd for bankene? Premisser og drivere Utfordringer og konsekvenser Muligheter og effekter

Transkript:

Justisdepartementets lovavdeling Postboks 8005 Dep 0030 OSLO Vår dato 21.12.2017 Deres dato 7.9.2017 Vår referanse 17/00008-60 Deres referanse 17/4746 EP HEA /MEK/bj Saksbehandler: Jon Berge Holden Høringssvar - Revisjon av finansavtaleloven (PSD2 og e-id) Vi viser til høringen, og avtale om utsatt høringsfrist. Høringen gjelder gjennomføring av flere direktiver, blant annet det reviderte betalingstjenestedirektivet (PSD2). Departementet peker i høringen på at direktivet på noen punkter kan være utfordrende for eksisterende e-id-ordninger. Spesifikt pekes det på at direktivet synes forutsette at passord og kode som benyttes for bruk av BankID vil kunne bli tilgjengelig for betalings- og opplysningsfullmektiger, og at det er noe usikkerhet med hensyn til om BankID kan opprettholde vilkår om at passord og kode ikke skal gjøres kjent for uvedkommende. Beskrivelsen i høringsnotatet uroer oss. Det mest problematiske punkt synes være ovennevnte krav. Direktivets mål Et av hensynene i direktivet er at å sikre at det er attraktivt og enkelt for forbrukerne å ta i bruk fullmektiger. Det er derfor stilt krav om at e-id-løsninger som benyttes for å disponere bankkonto også skal kunne brukes av fullmektigene. Vi vil imidlertid understreke at direktivets formål neppe bør trekkes så langt at det skal føre til at dagens e-id-løsninger ikke lenger skal kunne brukes til andre tjenester enn banktjenester. EU har like før PSD2 ble vedtatt fastsatt en forordning om tillitstjenester og elektronisk identifikasjon (eidas, forordning 910/2014). Begrepsbruk og innhold i PSD2 og eidas synes være dårlig koordinert. Et formål med eidas er å sørge for gjenbruk av e-id og tillitstjenester på tvers av sektorer og land. PSD2 begrenser seg til å se på konkurransen på betalingsområdet. Vi anbefaler at PSD2 fortolkes innskrenkende, der reglene kommer i konflikt med sektorovergripende mål. Bruk av e-id i Norge - særtrekk Difi har rollen som samordner og premissgiver for tverrgående utfordringer i digitaliseringen av offentlig sektor. Fellesløsninger som ID-porten er et kraftig virkemiddel i etableringen av Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 8115 Dep, 0032 Oslo 22 45 10 00 Grev Wedels plass 9 Skrivarvegen 2 Org.nr: NO 991 825 827 postmottak@difi.no 0151 Oslo 6863 Leikanger www.difi.no

digitale tjenester og gir god ressursutnyttelse ved at fellesbehov løses for alle med én løsning. ID-porten står for pålogging til 703 offentlige virksomheter og beskytter 1394 digitale tjenester. Det går ca 120 mill pålogginger gjennom ID-porten i 2017. Den er således en svært viktig fellesløsning og en forutsetning for å oppnå digitalt førstevalg. For å kunne tilby pålogging på høyeste sikkerhetsnivå gjennom ID-porten benytter Difi e-id fra markedet. BankID benyttes totalt til 70 % 1 av påloggingene gjennom ID-porten og de aller fleste på høyt sikkerhetsnivå. BankID spiller i dag en avgjørende rolle for digitaliseringen av offentlig sektor. Norge var tidlig ute med bruk av e-id både til nettbank og offentlige tjenester på nett. BankID ble lansert i 2004 og utviklingen av det som i dag er ID-porten startet i 2006. I de fleste andre land i EØS kan e-id-løsningene bare brukes i det konkrete kundeforholdet for én bank. Direktivet tar sikte på å håndtere risiko for misbruk av e-id i slike situasjoner risikoen rammer da aktørene som direktivet direkte regulerer, og direktivet har iverksatt tiltak for å håndtere denne risikoen. For norske forhold blir en slik tilnærming for snever: BankID er en fellesløsning både for alle bankene, men også offentlige og private tjenestesteder. Norge skiller seg således ut med stor bruk av e-id på tvers både i privat og offentlig sektor. Norge skiller seg også ut med at man i større grad benytter nettsentriske løsninger (sentrallagrede nøkler, sentrallagret pki) også på høyeste sikkerhetsnivå. BankID er en slik løsning. Det har gitt en helt annen fleksibilitet i brukervennlighet og gjenbruk på tvers, enn løsninger i andre land. BankID kan for eksempel brukes til det aller fleste finanstjenester som å opprette konto, gi tilgang til nettbank og inngå låneavtaler. Fleksibiliteten gir også mange bruksområder i offentlig sektor som tilgang til tjenester på alle sikkerhetsnivåer og mulighet til å automatisere tjenester ved brukervennlig autentisering og digitale signaturer. Siden Norge er et foregangsland som står temmelig alene om utstrakt bruk av sentrallageret PKI er det trolig at utfordringer PSD2 gir for denne type løsninger er tillagt mindre vekt i arbeidet med direktivet. Smartkortbaserte og app-baserte løsninger, som er utstrakt bruk i andre land, kommer for eksempel utenom direktivets krav om fallback-løsninger. For Norge er det imidlertid ikke tilstrekkelig, jf. at BankID har en sentrallageret løsning. Sentralt i suksessen i bruken av BankID står brukernes tillit. Difi brukerundersøkelser viser at innbyggeren har svært høy tillit til ID-porten og BankID. Norge er således i en særstilling i forhold til de fleste andre land i EØS, hvor det er en ukjent tanke at en e-id fra bank også skal tilgang til andre tjenester i samfunnet. Sikkerhetsutfordringen I høringsnotatet er det uttalt at «Dersom en kunde med BankID skal benytte seg av en kontofullmaktstjeneste, må kunden oppgi passord og koder til BankID til tilbyderen av slike tjenester, som på den måten får tilgang til å hente opplysninger eller initiere en betaling fra kundens betalingskonto.» (pkt 4.5.2.2, vår utheving) 1 Tall for hittil i 2017, hhv. 45% på BankID, 25% BankID mobil. 2

Dersom dette er riktig, vil det innebære et alvorlig brudd på sikkerhetskravene til dagens løsning. Elektroniske identifikasjonsordninger baserer seg på at delte hemmeligheter, som passord og koder, bare er tilgjengelig for kunden og e-id-utstederen (i eksemplet: BankID). Dersom gjennomføringen av PSD2 innebærer at passord og koder skal kunne oppgis til andre enn e-id-utstederen vil det svekke tilliten til den aktuelle e-id-ordningen. Resonnementet er like enkelt, som det er gammelt: «Det ein veit um, er utrygt hjå tvo, det tri veit um, veit alle» 2. Et krav om deling vil høyst sannsynlig innebære at løsningen verken vil oppfylle krav til høyeste sikkerhetsnivå iht. dagens norske rammeverk, eller EUs nylig definerte sikkerhetsnivåer for e-id 3. For e-id-løsninger som er basert på kvalifiserte sertifikater, som i dag er et krav for høyeste e-id-sikkerhetsnivå, vil det formodentlig også føre til at kvalifisertstatusen og muligheten for å bruke e-id-en til å lage avanserte signaturer vil opphøre, jf. at deling av hemmelighetene vil føre til at kravet til «enekontroll» over privatnøkkelen ikke lenger er oppfylt. I høringsnotatet anerkjennes denne utfordringen, men antydes det at utfordringen kan løses ved at det utstedes nye e-id-er, en «gjestenøkkel» med begrenset funksjon. Omtalen av spørsmålet er knapp, og ikke fyldestgjørende. Vi kan ikke se hvordan dette er mulig å oppnå, dersom de samme hemmeligheter skal gi tilgang til både «hovednøkkel» og «gjestenøkkel». Dersom kunden skal utstyres med ulike passord og koder for hhv. «hovednøkkel» og «gjestenøkkel» vil det erfaringsmessig innebære store utfordringer, både med å utbre løsningene, få dem tatt i bruk og holdt vedlike et sannsynlig utfall er at begge løsninger taper både brukere og bruk, og at det største tapet oppstår for den av nøklene som brukes minst. Ikke teknologinøytral sekundærlovgivning Sekundærlovgivningen for PSD2, kommisjonens delegerte rettsakt 2017/2055 av 27.11.2017 4, stiller krav til grensesnittet for bruk av e-id. Det forutsettes her blant annet at tilgang skal skje uten videresending se artikkel 32. Det er dette kravet som innebærer at hemmelighetene vil komme under fullmektigens kontroll. Direktivet stille rettslige krav til at fullmektigen ikke selv skal misbruke opplysningene (herunder lagre dem, art 66/67 nr 3 e) og til at den skal hindre at andre får tilgang (art 66/67 nr 3 b). Det endrer imidlertid ikke det grunnleggende problem: at tilliten til e-id-løsningen står og faller på tilliten til at fullmektigene (i prinsippet et ubegrenset antall aktører) klarer å etterleve pliktene. Det er en bestemmelse som i praksis diskriminerer mellom lokale, pki-baserte løsninger (som gir lokal tilgang via assymetriske nøkler, i praksis smartkort og app-baserte løsninger) og nettsentriske e-id-løsninger (symmetriske eller assymetriske). Bestemmelsen bryter etter vårt skjønn med kravet til teknologinøytralitet. 2 Håvamål, strofe 63 33 Se eidas-forordningen artikkel 8, jf. gjennomføringsrettsakt 2015/1502; eidas ventes tatt inn i norsk rett i nær framtid. 4 C(2017) 7782 final, basert på EBAs utkast til krav. 3

Mulige negative konsekvenser av gjennomføringen I Difi brukerundersøkelser for ID-porten svarer 81% av brukeren at det viktig for dem å ha en e-id som kan brukes til alle digitale tjenester. All erfaring viser også at det er e-id-en som brukes ofte, som er både den mest brukervennlige og mest sikre løsningen. Blir konsekvensen av direktivet at BankID ikke lengre kan oppfylle kravene til høyt sikkerhetsnivå, og således ikke kan brukes på tvers i samfunnet, vil det føre til et betydelig tap og hindre digitaliseringsarbeidet i det offentlige. Fører direktivet til at det er nødvendig å utbre en ny e-id på høyt sikkerhetsnivå vil kostnadene bli betydelige og tidshorisonten for full utrulling lang. De største kostnadene med en e-id er knyttet til utlevering og identitetskontroll. Som eksempel kan nevnes Postens PUM tjeneste som vil kunne oppfylle deler av utleveringskravet. Denne er alene priset til over 300 kr per utlevering. Utrullingen av nasjonalt ID-kort, som kan dekke deler av behovet, har en lang tidshorisont, da den følger takten på utlevering av nye pass. Dersom BankID ikke lengre vil kunne oppfylle kravene til høyt sikkerhetsnivå, kan det bli nødvendig å sette digitaliseringsprosjekter i det offentlige på vent. Eksempler på dette kan være tjenester innenfor helse og sosiale ytelser og som krever e-id på høyt sikkerhetsnivå for å beskytte de taushetsbelagte opplysningene. Dette kan ha stor påvirkning på digitaliseringen i sektorene. Mulig løsning Vi mener imidlertid direktivets formål vil kunne oppnås uten at man bryter med god praksis for håndtering av hemmeligheter. Det forutsetter imidlertid at man ivaretar sikkerhetsbehovene til e-id-løsninger som benyttes også utenfor finanssektoren, og ikke stiller krav om at hemmelighetene skal deles med andre enn e-id-utstederen. En mulig løsning vil her være å akseptere omdirigering for slike løsninger; mao. at det både for smartkortbaserte, app-baserte og nettsentriske løsninger aksepteres at hemmelighetene oppgis i grensesnitt som e-id-utstederen har kontroll over. Difi ønsker å bli involvert i det videre arbeidet med gjennomføring av direktivet, jf. at en uheldig gjennomføring kan gi store negative konsekvenser for digitaliseringen av offentlig sektor. Vennlig hilsen for Difi Steffen Sutorius direktør Tor Alvik fagdirektør Dokumentet er godkjent elektronisk og har derfor ingen håndskrevne signaturer. 4

Kopi til: Kommunal- og moderniseringsdepartementet Postboks 8112 Dep 0032 OSLO 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding