Hva er nytt i eIDAS versjon 2.0?
eIDAS (electronic IDentification, Authentication and trust Services) er et europeisk og norsk regelverk som regulerer elektronisk identifikasjon og tillitstjenester på tvers av EU/EØS-land. Dette rammeverket skal etablere gjensidig tillit på tvers av landegrenser. Med andre ord, skal regelverket sikre at din elektroniske identitet nasjonalt blir akseptert for bruk mot offentlige elektroniske tjenester i EU/EØS, og dermed bidrar til et fungerende indre marked i EU.
eIDAS 1.0 var ikke en suksess, så kom det en oppgradering 2.0. eIDAS 2.0 skal overholde de eksisterende EU rammeverkene blant annet. GDPR (General Data Protection Regulation) og Cyber Security Act.
EU-kommisjonen presenterte sitt endringsforslag (COM/2021/281 final) til Europaparlaments- og rådsforordning (EU) 910/2014 den 3. juni 2021 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen).
Forslaget vil innebære store endringer fra dagens regelverk, og vil medføre store endringer for eID-markedet både i Norge og i EU. Sentralt i endringsforslaget er rammeverket for en digital «ID-lommebok» kalt European Digital Identity Wallet. Lommeboken skal muliggjøre online autentisering og tilgang til både offentliges og private tjenester på tvers av EU. Dette lages i form av en app på Smartphone, webapplikasjon eller sikker applikasjoner på PC. Det er bare 14% av offentlige nøkkeltjenester som tillater overkryssende bruk av autentisering med eID i EU. Dette skal løftes med innføring av eIDAS 2.0.
Formål
Formålet med forslaget er å:
- Sikre at det indre markedet fungerer som ønsket, særlig mht. tilbudet av grenseoverskridende og tverrsektorielle digitale offentlige og private tjenester.
- Sørge for at medlemstatene har tillit til hverandres grenseoverskridende eID-løsninger.
- At fysiske og juridiske personer skal få tilgang til pålitelige og sikre digitale identitetsløsninger som kan brukes innenfor EU og møter brukernes forventninger til personvern.
- Redusere risikoen for markedsstyring av store online plattformer, user lock-in og miste kontroll over data
Lovverket skal promotere trygg digital identitet for alle europeiske borgere. Det medfører også en sikker og interoperabel europeisk eID lommebok som skal gi full kontroll til brukere. Brukere får dele sine personlige attributter og data med sin vilje og samtykke til 3redje parter, og får full oversikt over datadeling i tillegg.
Rammeverket setter krav for høyt sikkerhetsnivå og minimum datadeling av attributter. Forbrukere blir bare spurt å dele nødvendige opplysninger for en rekke spesifikke transaksjoner. For eksempel, hvis man bruker sin lommebok for å fremvise sin alder, så er det ikke behov for å dele øvrige personlige opplysninger.
Lommeboken kan utstedes direkte via en offentlig myndighet eller privat aktørene som er godkjent av myndighetene. Bankene og telekommunikasjon er de mest aktuelle aktørene for å tilby slike lommebøker blant privat sektor. Det medbringer potensielle fordeler for aktørene, for eksempel styring i kunde forhold, selv om de ikke får tjene penger (monetisere) på lommeboken direkte. Lommeboken må tilgjengeliggjøres gratis til alle innbyggere.
eIDAS 2.0 skaper nye muligheter for både offentlig og privat sektor. Det skal revolusjonere
online brukeropplevelse, i tillegg til å løse problemer innenfor privacy og sikkerhet.
Fordelene for offentlig sektor/myndighetene
Offentlig sektor har ansvaret for å utstede eIDen som skal ligge i lommeboken.
Det offentlige vil være ansvarlig for identitetskontrollen og innrulleringen av brukeren i lommeboken. Selve eIDen vil være et sett med attributter, som i Norge vil være forankret i folkeregisteret. Fordelene med slik løsning er følgende:
- Enda høyere grad av digitalisering i offentlige tjenester
- Forbedre lettvinthet, sikkerhet og effektivitet
Fordelene for innbyggere
- Fremvise sin identitet og dele elektroniske dokumenter blant annet, e-attester og attributter fra sin EU-lommebok.
- Signere dokumenter elektronisk via kvalifisert e-signatur (QES)
- Full datakontroll
- Forbrukeren får bestemme over hvilke data og attributter skal deles med 3rd. parter, i tillegg til å spore ned delingen ved behov.
Use-casene
Det er vurdert en rekke relevante use-caser i både offentlig og privat sektor, deriblant:
- Forespørsel på fødselsattest, helseattest, adresseendring i Folkeregisteret
- Opprette bankkonto
- Innlevering av skattedokumenter/selvangivelse
- Søke på universitet i hjemlandet eller i EU
- Lagring av helseresepter som kan brukes overalt i EU
- Alders bevis/Bevise alder
- Leie bil via digitalt førerkort
- Innsjekking ved hoteller
- Kunde onboarding/innrullering
- Søke på boliglån
- SCA (Secure customer authentication/Sikker Kunde Autentisering)
Tidslinje
Inntil september 2023, alle EU-medlemmene må tilgjengeliggjøre eID lommebok til alle borgere som ønsker seg en slik lommebok. Det betyr at innbyggere må kunne nedlaste eID lommebøker på sine smarttelefoner, der de slipper å legitimere seg meg fysiske dokumenter.