Se utskrift av hele podkasten her:
(Vignett)
Are Kvistad
EU-kommisjonen foreslår et nytt, og betydelig steg for utviklinga av det indre markedet. Nå er ambisjonen å lage en felles elektronisk ID (eID) for alle borgere i EU. Dette vil få betydning - også for oss i Norge.
Velkommen til Digitaliseringsbloggen. Mitt navn er Are Kvistad, og i dag har jeg med meg to fagpersoner som er eksperter på elektronisk ID og som kan forklare mer om det som nå skjer i EU. Det er to av mine kolleger i Digdir, Tor Alvik og Ronny Khan. Velkommen!
Tor Alvik
Tusen takk!
Ronny Khan
Ja, tusen takk!
Kvistad
Tor, du har jo vært med denne podkasten tidligere og snakket om dette temaet og hvordan det jobbes med å utvikle eID-løsninger i Norge, Norden og de baltiske landene. Kan du først si litt om bakgrunnen for lovforslaget som nå kommer fra EU-kommisjonen.
Alvik
Ja, vi har jo hatt felles lover med EU om digital ID en god stund. Det kalles for eIDAS-lovgivninga, og er også en del av norsk lov. Den legger rammene for den digitale ID-en vi har i Norge. Det er vanlig i EU at man går gjennom lovverket etter en stund, og gjør justeringer som passer bedre for målene det skal oppnå.
Dette blir en større endring av det lovverket som nå innfører en ny felles tilnærming for eID for hele Europa, slik at det skal gjøres på lik måte i hele området.
Kvistad
Altså en EU eID, akkurat som vi i Norge har BankID og MinID, så er dette en ny EU eID?
Alvik
Innholdet i lovforslaget er at de enkelte landene skal etablere eID-en, men den blir lik over hele Europa og vil fungere på samme måte.
Kvistad
I Norden har vi allerede kommet langt med eID. Ronny, du har jobbet internasjonalt med dette i en årrekke, betyr dette at EU skal løfte seg opp på vårt nivå, eller hva er innholdet in den nye eIDen?
Khan
Det et blandet bilde der ute. Det er ikke slik at alle land har kommet like langt, og for en del land kan man argumentere med at man har kommet lengre enn det vi har. Men uavhengig av det, er dette egentlig et mye høyere ambisjonsnivå, en evolvering av elektronisk ID som går langt ut over den tradisjonelle bruken. Vi snakker ikke bare om ID, men også masse andre ting som har med det å gjøre. Det kan være ting som skatteattesten din, det kan være helseopplysninger om deg, det kan være førerkortet ditt, det kan være passet ditt, det kan til og med være nøklene til bilen din. Og det ligger i kortene at når det kommer til digitale sentralbankpenger, vil det også finne sin naturlige plass inne i en slik lommebok.
Kvistad
Så dette handler ikke bare om en eID som gjør at du kan identifisere deg som borger i over grensene i EU og EØS, men noe langt mer, Tor?
Alvik
Ja, en av de store utfordringene med å få tjenester til å virke på tvers over landegrensene er også at vi må utveksle informasjon. Dette er jo brukerens egen informasjon, og det nye lovforslaget og tilnærminga er det som kalles en digital lommebok. Da kan du ta vare på informasjon som du kan gi når du skal ha tilgang til en tjeneste. Det er et kraftig og godt grep for å lykkes bedre på tvers av landegrensene.
Kvistad
Betyr det at EU nå forsøker å løse en del av den store diskusjonen om retten til egne data, personvern, og slike ting?
Alvik
Ja, det er en tilnærming som gjør at du for kontroll over dine data, mer enn du hadde før, men det er også samtidig en digital ID hvor staten er garantist for at du er den du er og på samme måte som du har vært tidligere.
Kvistad
Jeg forsto på deg Ronny, du var inne på dette med penger, så vi kan altså heller omtale denne EU eID-en som en Wallet – digital lommebok. Det høres veldig ambisiøst ut. Hvordan skal EU klare å få etablert dette?
Khan
Nå kommer dette som et lovforslag som vil bli behandlet og gått gjennom de vanlige prosessene, men det er viktige er å forstå det politiske momentet bak forslaget. Dette har vært et av hovedpunktene i EU-presidentens tale i state of the union, så det ligger en betydelig vilje her, og også betydelig med penger som man kan bruke til dette, og der man har delegert minst 20 % til digitale initiativer.
Kvistad
Kan du si litt mer om hva dette betyr i praksis?
Khan
Oppsummert kan vi si at staten må utstede en slik lommebok, man har ikke noe valg, man blir pålagt å gjøre det. Denne skal man tilby gratis til alle brukere, det vil si vanlige brukere, for bedrifter blir det ikke nødvendigvis slik. Det blir lagt en solid deadline for når staten må gjøre dette, og det blir en 100% harmonisert løsning. Du kan tenke på passet ditt, alle land utsteder pass, men de er både like og forskjellige – like nok til at de kan brukes over alt, men samtidig finnes det en viss handlefrihet til look and feel. Så dette blir helt uniformt, i motsetning til det vi har i dag.
Som midler for å oppnå dette, finnes det mange midler. Blant annet vil man pålegge ganske mange sektorer å akseptere dette verktøyet, det gjelder for eksempel transport, bank, utdanning, også de store plattformene som Google, Amazon og Facebook vil på pålagt å akseptere dette som en måte identifisere kundene nå. Og så finnes det andre midler å oppnå dette, som DMA, Digital Market Act, som man vil bruke som verktøy for å sørge for at dette skjer. Så dette er også en del av det større bildet, det er ikke en isolert greie, det er et større bilde som skal løses her.
Kvistad
Det er tydelig at dette er ganske ambisiøst og gjennomgripende på tvers av sektorer, offentlig og privat. En del av våre lyttere er mer en gjennomsnittlig teknologi interesserte, hvilken føringer ligger for det som skal skje framover?
Khan
Det er viktig å forstå at dette er i utgangspunktet nærmest et teknologinøytralt rammeverk, eller lovforslag. Når det er sagt, er det også viktig å forstå at det absolutt ikke ligger an til at man p.t. vil gå for mer kontroversielle løsninger som blokkjeder, SSI eller slike ting, heller tvert om. Så det må man ikke lese ut av denne lovreguleringen. Men det utelukker selvfølgelig ikke at når slike ting blir modne, kan brukes, men det vil være feil å tenke den tanken først. Det er mer som en wallet som den man har i dag, alle bruker vel Apple wallet eller tilsvarende, i en eller annen sammenheng.
Kvistad
Finansnæringen er jo gjerne omtalt som blodomløpet i samfunnet – også internasjonalt. I Norge har vi gjennomdigitaliserte banker, men slik er det ikke i alle land, heller ikke i EU. Hvilke konsekvenser kan gjennomføringen av en slik lov få for eksempel for finansnæringen og bankene hjemme og ute?
Khan
Det vil ha en stor impact, for å bruke et engelsk ord. Det er slik at norske banker er veldig digitale, men de er jo også veldig norske, i motsetning til de fleste andre banker som faktisk opererer i flere land. Det som skjer her, er en del av det digitale indre marked, som man ønsker å etablere og få til å fungere. På samme måte som man har for fysiske varer allerede. Og finansnæringen vil kjenne dette. Så der det slik som med andre ting at det både er en trussel, dersom man ikke gjør noe, ellers er det en stor mulighet som man kan gripe og forfølge, og faktisk gjøre ny forretning over grensene.
Kvistad
Tor, i Norge har vi flere elektronisk ID-er som kan være utstedt av bankene eller andre private aktører, eller det offentlige, slik som Digdir gjør. Så folk kan velge å bruke BankID eller MinID osv. Kan vi se for oss at den nye EU eID-en vil komme istedenfor den offentlige vi har, for eksempel?
Alvik
Nå er dette et lovforslag som skal gjennom mye behandling før det blir vedtatt. I Norge har vi en veldig god tradisjon for samarbeid mellom de ulike sektorene som bank, finans og det offentlige og andre når det gjelder digital ID, og det tror jeg vi kommer til å bygge på videre framover også. Så representerer dette lovforslaget neste generasjon av digital ID. Det er ikke slik at det er bare i dette lovforslaget vi ser denne måten å tilnærme seg ting på, det ser vi ellers ute i verden, så jeg tror vi som samfunn felles kommer til å bevege oss mot et slikt målbilde, og det tror jeg også de aktørene som har vært oss kommer til å være med på videre fremover.
Kvistad
Ronny, vi har sett at EU er i stand til å innføre ganske store skift, jeg tenker for eksempel på GDPR, jeg vil gjerne høre mer hvilke fordeler du ser med løsningen som EU-kommisjonen nå går inn for. Kan det for eksempel være et virkemiddel for å redusere økonomisk kriminalitet, svart økonomi, svindel?
Khan
Ja, det kan det absolutt være. Men dette er i hovedsak et verktøy for digitalisering og for å sørge for at det digitale fungerer over landegrensene. Så i denne konteksten kan det være et virkemiddel for de tingene vi snakker om her. Men igjen, dette er et digitaliseringsverktøy, og det indre markedet som er det starter og der det stopper. Mer legger det opp til at man kan ha et tjenestetilbud som går over landegrensene og som også er tilgjengelig for små og middelstore bedrifter, og ikke bare de store tunge aktørene. Man kan tenke seg at man her kan handle marmor direkte i Italia uten å gå via en grossist, fordi at man er i stand til å gjennomføre den transaksjonen digitalt og framskaffe de credentials og bevis som leverandøren trenger for å levere til deg på en vanlig kontrakt.
Kvistad
Har du andre eksempler på konkrete fordeler eller bruksområder?
Khan
Ja, det vil gi borgerne en mulighet til å shoppe over grensene, uansett hva det skulle være for noe. Det er ingen grunn til at du skal trenge å ha en norsk bank, du kan ha en tysk bank, eller portugisisk bank, det gjelder borgere og det gjelder bedrifter, og det vil si – hvis ambisjonene slår til – være like enkelt som å ha en norsk bank.
Kvistad
Tor, har du noen slike eksempler du kan nevne?
Alvik
Ja, det er mange som er nærme for oss her i Norge. Alle typer bevis som vi i dag har, som førerkort som er nevnt som et eksempel, det kan være adgangskortet til jobben din, det kan være studiebevis og andre slike ting, men det ligger også mye i fremtiden her. For eksempel det å kunne samle data som du henter fra forskjellige devicer (enheter) og koble disse til virkeligheten din. Dette er en ny måte å gjøre ting på, og det kommer til å åpne opp nye bruksområder som vi sikkert ikke tenker på i dag.
Kvistad
Vi var inne på bank og finans. Kan vi se for oss at dette er et skritt mot at vi kan få penger i vår egen digitale lommebok?
Khan
Ja, det er åpenbart et nærliggende skritt som man allerede har begynt å tenke på, som digitale sentralbankpenger, at de skal ha sin plass i denne lommeboken. Nå vil det i første omgang treffe Euro-området, og ikke de regioner som har sin lokale valuta, men det ville jo være rart om de begynner å gå sine egne veier mot yet-another-wallet for disse småpengene. Det ville egentlig være fantastisk dumt å gjøre, tenker jeg.
Kvistad
Er det andre aspekter ved reguleringen som kanskje ikke umiddelbart oppleves som så tydelige, men som likevel er viktige?
Khan
Ja, det ligger en del ting som går på dette som kalles identitetsmatching, som betyr et krav til medlemsstaten å faktisk matche ikke-borgere for å tilby de tjenester. Jeg tror Tor kan fortelle mye om hva det går ut på. Så er det en viss anerkjennelse av ledgers som egentlig er byggeblokken for blockchains, men i en ganske begrenset grad. Og så ligger det et krav for nettlesere om å understøtte kvalifiserte sertifikater som følger av eIDAS-forordningen.
Kvistad
Nå er dette et lovforslag som etter hvert og trolig blir en del av en forordning som også vi i Norge må rette oss etter. Tor, kan du si litt om … hvordan er tidslinja her?
Alvik
Det er alltid vanskelig å forutse tidslinja med lovforslag i EU, men vi kan se litt på hva kommisjonen selv sier. Håpet er å innføre dette innen kommisjonsperioden, da snakker vi kanskje om par-tre år. Så må det inn i norsk lov gjennom EØS-behandlingen før det blir gyldig i Norge. Men her er også en stor mulighet for å starte en stor teknologisk utvikling, og etablere seg i et europeisk marked mens denne prosessen går, som man håper de norske aktørene på dette området ser.
Kvistad
Ja, du sier prosess. I EU er prosess et stort ord. Hvordan er denne prosessen, det er sikkert mange medlemsland som vil ha en mening her?
Khan
Ja, ordet er nå at det er nå det virkelige arbeidet begynner. Nå ligger lovforslaget der, men nå begynner det virkelige arbeidet. Denne prosessen vil ha involvering av medlemsland, men også Norge vil kunne delta her, og det første som skal skje er at man vil definere og finne fram til konkrete felles standarder for hvordan dette skal lages. Dette skal bli likt for alle, så det må være felles standarder. Så vil man finne ut hvordan man vil sertifisere løsninger, slik at medlemslandene blir sjekket, at det faktisk lager noe som funker som det skal. Så begynner man å jobbe med atributtsett. Det er noe nytt i forordningen som gjør at man kan ha slike ting som førerkort eller andre bevis i lommeboken. «That doesen’t make sense» med mindre man blir enig om hva et sett er, altså hvordan ser et førerkort ut, for eksempel. Så det er en jobb man begynner på. Så må man bli enige om hvordan man gjør governance, dette er ikke statisk materie – om ett år så er det nye krav som kommer – så hvordan skal man håndtere den prosessen. Og så er det også slik at skal noen akseptere bruken av denne, så må det være forståelig og enkelt, så det betyr at forretningsmodellene må være uniforme. Det kan ikke være slik at en norsk lommebok koster hundre ganger mer enn en fransk lommebok. Det må være relativt uniformt også på det forretningsmessige. Og så er det mye mye, mer som skal gjøres.
Kvistad
Spennende. Vi må gå inn for landing, men jeg kan ikke fri meg for tanken om at dette er et gigantisk digitaliseringsprosjekt. Vi vet at en rekke land i Europa ikke har kommet så langt som oss på dette området. Er det realistisk av EU å få virkeliggjort planen om en EU eID for alle 750 milloner innbyggere i unionen? Hva tenker dere om det?
Khan
For å si det slik: Det finnes et enormt politisk moment bak dette her. Veldig ofte ser du av slike forordninger at de kommer fra bunnen eller midten av stacken, slik er det ikke her, dette kommer fra toppen og trykkes nedover. Så.. aldri godt å si, men prioriteringen er tydelig på at dette vil man ha gjennomført.
Kvistad
Tor, har du tanker rundt dette?
Alvik
Ja, vi har sett flere ganger at når EU vil, så er de i stand til å gjennomføre større ting. Det er bare å se på vaksinekjøpene det siste året, så ser man jo det. Så er det slik at i dette lovforslaget så skal innføringen bli nasjonalstaten sitt ansvar. Det betyr at vi i Norge, dersom vi vedtar dette lovverket, så skal vi innføre vår del av denne digitale ID-en for de norske borgerne. Det har vi jobbet mye med i Digdir, så det er jeg sikker på at vi skal få til sammen med de andre aktørene rundt oss, så dette ser vi frem til, hva som skjer videre.
Khan
Så er det viktig å tenke at money taks og bullshit walks, minst 20% av dette enorme fondet som man har satt opp for recovery, skal brukes til det digitale. Dette er jo også en del av det.
Kvistad
Nettopp, det blir spennende å følge. En ting er sikkert. EU er tuftet på tanken om at innbyggerne og landene kan pålegges forpliktelser men også gis rettigheter og fordeler. Denne saken er sånn sett et eksempel på det store EU-apparatet i sving. En annen ting som er sikkert, er at denne podkasten er over, og at vi kommer tilbake med ny episode om ikke for lenge. Takk til Tor Alvik og Ronny Khan som var med i studio i dag. Husk at du kan laste ned flere episoder der du vanligvis henter dine podkaster. Vi høres!
(Vignett)
Johan Toverud Jensen
En ting er standardisert eID, men norsk språk har også standardiserte regler som bør følges, f.eks. når to sammensatte ord skrives som ett: sentralbank penger er lik sentralbankpenger, post relaterte tjenester er lik postrelaterte tjenester, nettsteds sertifikater er lik nettstedssertifikater. Bare et lite hint.
Som svar på En ting er standardisert eID… av Johan Toverud Jensen (ikke bekreftet)
Are Kvistad
Takk for betimelig påpekning! Dette blir korrigert. Med hilsen Are Kvistad, Digdir.
Ole Eirik Håtun
Hei, Spennende...men jeg får opp to kritiske tanker:
- Ønsker man i EU å bruke dette til å stoppe skatteflukt/-paradiser?
og
- Hva med overvåkingspotensialet? Vil en borger kunne velge å være uten eID?
Som svar på Hei, Spennende...men jeg får… av Ole Eirik Håtun (ikke bekreftet)
ronny khan
Dette er ikke obligatorisk men helt frivillig å ha en slik eID. Det som er viktig å merke seg er det er svært strenge krav til privacy til en slik elektronisk identitet der verken utsteder av lommebok eller ID vil ha noen mulighet for innsyn i bruk av ID eller hvor denne brukes.
Dette er vesentlig strengere enn det som er tilfelle med alle løsninger man har i dag.
Kampen mot økonomisk kriminalitet samt skatte unndragelse styrkes ved en sikker elektronisk identitet og dette er slikt sett et nødvendig verktøy men som må supplementers med andre lover og bestemmelser i tillegg.
Sigurd Sverdrup
Det finnes flere interesseorganisasjoner for fremmede som er etablert i et annet land. Jeg representerer en nordmann med feriested i Sverige. I hvor stor grad vil dette kunne komme oss i møte med hverdagen, hvor vi ikke får handlet varer, bestilt tjenester, kontaktet servicedesker, registrert oss på offentlige tjenester mm. hvis vi ikke har svenskt personnummer? Situasjonen har blitt betydelig verre de siste 20 årene - dessverre.
Christian
Når fungerer det for norske borgere. Jeg prøver å logge meg inn hos svensk Skatteverk og får som svar: Om det land där du skaffade ett elektroniskt ID inte finns med ovan så betyder det att det landet inte ännu gått med i eIDAS samarbetet.
Som svar på Når fungerer det for norske… av Christian (ikke bekreftet)
Ronny Khan
For EU vil trolig loven vedtas tidlig neste år (2024). Loven gir en 2 års frist før forpliktelsene tar effekt. Dette betyr at alle EU land og private aktører MÅ i løpet av 2026 men KAN fra det punktet loven vedtas.
Norge er et EØS land slik at disse fristene ikke automatisk gjelder men er avhengig av behandling i stortinget.
Tonje Fløystad
Hei
Så det betyr at man kan få en id på høyste sikkerhetsnivå uavhengig om man har bankkonto? (idag må man jo ha en konto for å få bankid).
Og om denne id må brukes til pålogging av sosiale medier, kan man sikre at unge ikke får opprettet en konto før de har alderen som kreves for aldersgrensen? Man unngår da at 10 åringer får snapchat konto, selv om det er 13 års grense?
mvh
Tonje
Som svar på Hei Så det betyr at man kan… av Tonje Fløystad (ikke bekreftet)
Ronny Khan
Det stemmer. Staten er forpliktet å gi alle med tilhørighet til riket (residents) en slik ID gratis dersom vedkommende ønsker det.
Når det gjelder særkrav i forhold til alder (mindreårige) er det opp til nasjonale bestemmelser og lovgivning.
Det er dog få åpenbare grunner til å ha særskilte avgrensninger her siden det å bevise hvem du er, som ikke trenger å utlevere full identitet samt aspekter som alder samt eventuelt samtykke fra foresatt styrker hånhevning av de aspektene du nevner.
Men som nevnt er dette opp til nasjonal lovgiver å sette eller å la vær å sette slike avgrensinger.
Sigurd Sverdrup
For 24 år siden kjøpte jeg en skogsgård i Sverige for å ha som fritidsbolig. Det ble raskt etablert kontoforhold til en rekke tjenester i Sverige, både Skogsstyrelsen, Lantmäteriet, Blocket, bestillingsportal for internett aksess, telefon og en rekke andre nettbaserte tjenester.
Nå er de sperret - alle (unntatt lånekort på det lokale biblioteket).
Sverige stenger nordmenn ute, Norge flytter tjenester opp i sky uten å ta med id-tjenesten og Danmark her åpnet grensekontroll mot Sverige.
Dette kan umulig være intensjonen bak EID!