Nabolandene viser vei om ID-lommebøker

Dette er et oppdatert utdrag fra vårt nyhetsbrev, FinShift, som sendes ut hver onsdag.

Hva er saken? 

Mens vi venter på at Digitaliseringsdirektoratet skal komme med sin anbefaling om hvordan Norge skal tilpasse seg EUs store prosjekt med en digital ID-lommebok, også kjent som eIDAS 2.0, kan det være verdt å se litt på hva som skjer i nabolandene.

I forrige uke avslørte nemlig Danmarks svar på Digdir, Digitaliseringstyrelsen, at landets nye digitale «identitetstegnebog», skal hete AltID.

– Vi har valgt AltID, fordi det er et ID du «altid» har på dig, og fordi du vil bruke den til «alt» mulig, uttalte digitaliseringsminister Caroline Stage.

AltID ble vinneren blant over 3000 forslag som ble sendt inn til navnekonkurransen som det danske Digitaliseringsministeriet utlyste tidligere i år. Blant forslagene som ikke nådde opp kan man nevne «Statstyranni», «Big Brother» og «MitEuropæiskeNordkorea».

De første tjenestene som blir tilgjengelige er et aldersbevis, som kan brukes for å bevise at man er over en bestemt alder, samt et legitimasjonsbevis, som inneholder navn, fødselsdato, nasjonalitet, adresse og personnummer, men der brukeren alltid kan velge akkurat de opplysningene som må deles, og ikke mer.

Digitaliseringsstyrelsen har som mål at danskene skal få tilgang til sin versjon av det som på EU-språk kalles for «EUID Wallet» allerede til våren. I Danmark er det det statlige e-legitimasjonen MitID som brukes som identitetsbevis (PID).

I Sverige vil det ta litt lenger tid, men Sveriges Digdir, Myndigheten for digital forvaltning, Digg, fikk i begynnelsen av 2025 beskjed av regjeringen at utviklingen av den digitale ID-lommeboken må være klar til november 2026, som er EUs deadline for at medlemslandene må ha en lommebok klar.

I vår fikk også den svenske politimyndigheten i oppdrag å ta frem og utstede en statlig e-legitimasjon på høyeste sikkerhetsnivå. På egne hjemmesider skriver Digg at man samarbeider med Polismyndigheten slik at den den statlige e-legitimasjonen også skal brukes for å få tilgang til ID-lommeboken.

Hvorfor er dette interessant? 

Digitaliseringsdirektoratet skal etter planen overlevere sin konseptvalgutredning til Digitaliserings- og forvaltningsdepartementet på nyåret og gi politikerne sitt syn på den beste veien videre.

Tre alternativer ligger på bordet, men trolig er det bare de første to som er aktuelle.

1. Det offentlige tar kontroll over utstedelse av både identitetsbevis (PID) og ID-lommebok. PID står for Personal Identification Data og er selve kjernen i EUs ID-prosjekt – en elektronisk ID som er likestilt med et pass eller nasjonalt ID-kort.

2. Utstedelsen gjennomføres i samarbeid med markedsaktører som for eksempel Stø eller Buypass.

3. Outsource utstedelsen til «big techs» slik at det blir en Google- eller Apple-lommebok.

Selv om Apple i begynnelsen av november gjorde det mulig for sine amerikanske brukere å skape en digital ID i Apple Wallet, er det lite sannsynlig at alternativ tre skulle bli mer aktuelt i siste stund. Apples amerikanske lommebok inneholder allerede mange tjenester som kan minne om det Vipps bygger opp i sin app, uten at disse noen gang er blitt lansert på denne siden Atlanteren. Og tjenesten som blir lansert i USA vil til å begynne bare fungere for ID-sjekk på flyplasser ved innenriksreiser, og den er heller ikke på høyt sikkerhetsnivå.

Akkurat dette med sikkerhetsnivåer for e-legitimasjoner spiller faktisk en viktig rolle. Et av kravene i eIDAS 2.0 er at de digitale ID-lommebøkene har en eID på høyt sikkerhetsnivå, og her skiller de nordiske landene seg.

I Danmark er det ikke så vanskelig. MitID er eID-en som brukes, og den er på høyt sikkerhetsnivå. 

I Sverige finnes det tre tilbydere av eID – de private aktørene BankID, Freja+ og Svenska Pass, som tross navnet eies av den franske sikkerhetskjempen Thales Group. Av disse er det bare sistnevnte som er på høyt sikkerhetsnivå. BankID og Freja er på nivå 3, altså vesentlig sikkerhetsnivå. 

Det betyr at den vanligste, BankID, ikke tilfredsstiller kravene i eIDAS, og i så måte er det ikke uventet at politiet har fått oppdraget med å ta frem en ny offentlig eID på høyeste sikkerhetsnivå.

I Norge er situasjonen nesten omvendt. De private alternativene BankID, Buypass og Commfides er på høyt sikkerhetsnivå, mens statens egen MinID er på sikkerhetsnivået under. BankID har over 90 prosents dekning i befolkningen, men selv om sikkerhetskravet er i orden, har BankID en del andre mangler som gjør at det har problemer med å bli en norsk ID-lommebok, selv om Stø prøver å legge til rette for dette.

Da BankShift intervjuet Tor Alvik i Digdir tidligere i høst, var han tydelig på én ting:

– BankID kan ikke være en PID i dette konseptet. Slik lommeboken er konstruert, ligger PID-en – beviset på identiteten din i et land – inni selve lommeboken, sa Alvik og la til:

– Det Stø nå lager i sin bankuavhengige løsning er heller ikke en eIDAS-lommebok; det er en annen utgave av BankID.

Hva er konklusjonen? 

Så hvor står da Norge, kort tid før direktoratet skal legge frem sin anbefaling?

Ser man til valgene som er tatt i Danmark og Sverige, taler det meste for at Digdir vil anbefale alternativ 1 – at det offentlige tar kontroll over utstedelse av både PID og ID-lommebok. 

Det ville nesten være rart om Norge velger en annen vei enn nabolandene. 

– Det første som skal lages er et identitetsbevis (PID) som legges inn i lommebøkene. Det står i vår egen strategi at dette bør staten ta ansvar for – slik staten gjør for andre identitetsdokumenter, sa Alvik i september, og det er vanskelig å tolke det på annen måte enn at det er det Norge også til sist ender med.

Hva så med BankID? Det meste taler for at tjenesten fortsatt vil ha en helt sentral rolle blant norske identitetsløsninger. Det virker ikke som om myndighetene har tenkt å gi slipp på de private aktørene, selv om man ønsker seg en eID fra myndighetene.

– Vi har samarbeidet med markedet om elektronisk ID i 20 år. Selv om det nå kommer endringer, er jeg sikker på at vi finner en god modell videre, sa Alvik.

RELATERTE SAKER

→ Ny app for digitale beviser skal hete AltID (Via Ritzau)
→ Har du vant til MitID? Nå kommer AltID (TV2.dk)
→ Digital identitetsplånbok (Digg - myndigheten för digital förvaltning)
→ – EUs lommebok er mye mer enn dagens BankID-app
→ Apple introduserer Digital ID (Apple)

Likte du denne saken. Abonner på nyhetsbrevet FinShift, så får du den rett i epostkassa hver onsdag.