– EUs lommebok er mye mer enn dagens BankID-app

– Det vi skal bygge nå er neste generasjons ID-løsninger – en ny måte å gjøre ting på som gir mange nye muligheter. Det krever en annen infrastruktur enn i dag, der verken BankID, MinID eller andre eID-løsninger vi har i dag er det enkle svaret, sier Tor Alvik, fagdirektør i Digitaliseringsdirektoratet, da BankShift tar kontakt for en statusoppdatering på det norske eID-arbeidet.

Alviks svar mer enn antyder at det venter noen interessante avgjørelser for norske politikere i nær fremtid. Hvordan Norge skal forholde seg til elektronisk ID og EUs planer på å innføre en digital identitetslommebok – det som på EU-språk kalles for eIDAS 2.0-forordningen – må snart bestemmes.

Digitaliseringsdirektoratet skal etter planen overlevere sin konseptvalgutredning til Digitaliserings- og forvaltningsdepartementet på nyåret og gi politikerne sitt syn på den beste veien videre.

Tre alternativer

Tre alternativer ligger på bordet, men trolig er det bare de første to som er aktuelle.

1. Det offentlige tar kontroll over utstedelse av både identitetsbevis (PID) og ID-lommebok. PID står for Personal Identification Data og er selve kjernen i EUs ID-prosjekt – en elektronisk ID som er likestilt med et pass eller nasjonalt ID-kort.

2. Utstedelsen gjennomføres i samarbeid med markedsaktører som for eksempel Stø eller Buypass.

3. Outsource utstedelsen til «big techs» slik at det blir en Google- eller Apple-lommebok.

– Til syvende og sist er det et politisk valg om hvilken vei Norge skal gå, sier Alvik.

Alvik er kanskje den i Norge som har fulgt tettest arbeidet med hva EU ønsker å få ut av eIDAS 2.0 og hvilken betydning forordningen vil ha på den norske strategien for bruk eID i offentlig sektor.

Fire av ti i EU med elektronisk ID 

1.0-versjonen av eIDAS (electronic IDentification, Authentication and trust Services), kom allerede i 2014, og ble tatt inn i norsk lov i 2018. Målet var å legge til rette for økt elek­tronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU og EØS.

Uten særlige tvangsmidler på medlemslandene gikk det ikke så bra. For et par år siden var det fortsatt ikke mer enn fire av ti EU-borgere som hadde tilgang til en elektronisk ID. Dermed måtte det blir en 2.0-versjon som stilte krav om en felles europeisk lommebok.

BankID blir bankuavhenging

«Hodepinen» for norske byråkrater og politikere er at Norge har en ID-løsning med over 90 prosents dekning i befolkningen. Problemet er at BankID per i dag ikke tilfredsstiller en del sentrale EU-krav, blant annet at den må være tilgjengelig for alle.

Stø prøver å løse dette gjennom å lansere en bankuavhengig BankID, der selskapet overtar utstederrollen fra bankene, og håper på at det offentlige skal velge å bli en fremtidig bruker av Støs eID-løsning på lik linjene med bankene.

– Om det offentlige blir med på den satsingen vi nå gjør, løser vi langt på vei problemet med at ikke alle får BankID fordi banken sier nei, sa Stø-sjef Øyvind Brekke til BankShift da han fortalte om planene i sommer.

Ikke nok for EUs ID-lommebok

Fullt så enkelt er det ikke, ifølge Tor Alvik. De norske løsningene, inkludert Støs bankuavhengige BankID, er ikke nok til å tilfredsstille EU-kravene til en ID-lommebok, eller bli det viktigste elementet i den nye lommeboken – identitetsbeviset eller den såkalte PID-en – et attributt som beviser at eieren er den hen utgir seg for å være.

– Konseptvalgutredningen fokuserer særlig på utstedelsen av PID og lommeboken. Utredningen skal svare på de sentrale valgene i eIDAS-loven: Hvem skal utstede PID, og hvordan? Hvem skal utstede lommebok i Norge, og hvordan rigger vi oss?

Så fortsetter Alvik med et litt mer oppsiktsvekkende utsagn:

– BankID kan ikke være en PID i dette konseptet. Slik lommeboken er konstruert, ligger PID-en – beviset på identiteten din i et land – inni selve lommeboken. PID-en utstedes av et EU-land, i vårt tilfelle Norge, og vi må sikre at vi gir den til riktig person. Det er krevende.

– Det Stø nå lager i sin bankuavhengige løsning er heller ikke en eIDAS-lommebok; det er en annen utgave av BankID, fortsetter Alvik.

Staten bør tar ID-ansvaret

– Mener du altså at Stø/BankID ikke kan agere som utsteder av elektronisk ID i henhold til eIDAS 2.0?

– Det første som skal lages er et identitetsbevis (PID) som legges inn i lommebøkene. Det står i vår egen strategi at dette bør staten ta ansvar for – slik staten gjør for andre identitetsdokumenter, sier Alvik.

– I vår konseptvalgutredning ser vi blant annet på hvor fysisk ID-kontroll kan gjøres i Norge.

– Så det at en person fysisk må møte opp med pass i banken første gang personen skal skaffe seg BankID er ikke tilstrekkelig?

– Vi ser på hvordan det offentlige kan ta et sterkere ansvar for den prosessen, men det betyr ikke at man skal ikke legge ned andre eID-løsninger i Norge når vi innfører denne lommeboken.

– Både BankID og Buypass er på sikkerhetsnivå høyt. Det innebærer at eIDAS-forordningen åpner for at begge kan brukes som ID-løsning for den som skal skaffe seg en PID til ID-lommeboken, ved siden av fysisk oppmøte for alle som etter hvert skal laste ned den nye lommeboken.

– Så BankID og Buypass er sikre nok til å godkjenne en lommebok, men de kan ikke være lommeboken?

– EUs lommebok er mye mer enn dagens BankID-app, svar Alvik kort.

Ingen oppfyller alle lommebokkrav i dag

Slik EU ser det skal lommeboken være teknisk lik overalt, koste tilnærmet like mye overalt, og ha en harmonisert løsning og forretningsmodell i alle land. Den skal kunne inneholde attesterte bevis, som for eksempel førerkort, studiebevis eller finansieringsbevis som skal være likeverdige med den fysiske versjonen.

– For å være en slik lommebok må man oppfylle alle kravene i loven og tilpasse løsningen deretter. Oversettingen av utenlandske identiteter vil staten håndtere gjennom Folkeregisteret, men alle potensielle lommebokleverandører i Norge må oppfylle kravene, og der er ingen i dag, sier Alvik.

– Når det er sagt, har vi et aktivt samarbeid med BankID/Stø, og jeg vet at de forbereder seg på hvordan de eventuelt kan utstede en eID-lommebok i Norge. Det kan være et naturlig neste steg for dem, fortsetter han.

Stenger ikke for samarbeid

– Det høres jo ut på deg som om vi kan vente oss en fremtid med flere eIDAS-lommebøker, litt som vi har ID-løsninger i dag, men der det er staten, ikke bankene, som har ytterste ansvar for den elektroniske identiteten?

– Det er det som politikerne skal avgjøre. Det er ikke opp til meg å si noe om. Vi har samarbeidet med markedet om elektronisk ID i 20 år. Selv om det nå kommer endringer, er jeg sikker på at vi finner en god modell videre, sier Alvik.

– Skandinavia har ligget langt foran, men EU-pakken er større. Det må på plass mange nye komponenter, og vi kan ikke bare bygge videre på det vi har i dag. Samtidig skal vi bruke det som er verdifullt, som at vi allerede har en løsning som brukes av de aller fleste, og fortsette å jobbe tett med private aktører.

Den ferske rapporten «Samfunnsøkonomiske gevinster fra BankID», som Oslo Ecnomics har laget på vegne av Stø, har regnet på to fremtidsscenarioer for elektronisk ID. Et der man fortsetter som i dag med BankID som den dominerende løsningen, og et der en nasjonal eID blir etablert ved siden av BankID.

Store gevinster å vente

Rapporten konkluderer med BankID-alternativet gir store økonomiske fordeler. Hele 3,75 milliarder kroner i engangsgevinster. Av disse kommer tre milliarder fra det faktum at 5,5 millioner nordmenn ikke trenger å møte opp fysisk for å skaffe seg den nye nasjonale eID-en. I tillegg regner Oslo Economics seg frem til at årlige gevinster av å fortsette med BankID vil være på 1,77 milliarder kroner.

– Hva tenker Digdir om de tallene?

– Vi har ikke sett i detalj på deres beregninger, men ser man internasjonalt er forventningene til samfunnsøkonomiske gevinster av en eID-lommebok veldig store. I Tyskland snakker man om en besparelse på opptil to prosent av BNP. Det er svært høye tall, sier Alvik.

– Men som jeg allerede har vært inne på: lommeboken blir en helt annerledes løsning der det er så mye nytt som skal bygges, at jeg egentlig ikke har noen direkte kommentarer til tallene i rapporten, sier Alvik.

Mener fremdriften er i rute

Hva så med tidsperspektivet? eIDAS 2.0 ble vedtatt av EU-parlamentet i mars 2024 og i november neste år må alle EU-land har en fungerende lommebok på plass.

Når EU har sitt på plass, må jo som kjent forordningen først bli en del av EØS-avtalen, før den kan behandles og tas inn i norsk lov.

Akkurat den lovmessige fremdriften er ikke Alvik veldig urolig for. Han forteller at EØS-behandlingen er i sluttfasen og i rute. Også for Island og Liechtenstein er eID-lommeboken et reguleringstog de ikke har lyst til å miste. Parallelt pågår lovarbeidet i Norge, og Alvik forteller at Digdir jobber med et høringsutkast sammen med departementet.

– Det er så langt ikke kommunisert noen ny tidsplan fra våre politikere og departementet enn målet i digitaliseringsstrategien, som peker på 2030, sier Alvik.