4 Departementets vurderinger og forslag
For utenlandske borgere som ikke har et norsk fødselsnummer, vil det i mange tilfeller kunne utstedes en eID basert på vedkommendes utenlandske identifikasjonspapirer, som regel pass, i kombinasjon med kontroll av at oppgitt d-nummer stemmer overens med hva som er registrert på vedkommende i Folkeregisteret. Departementet har kommet til at forslaget bør følges opp.
Utenlandske identifikasjonsnumre skal benyttes som sammenligningsgrunnlag i forbindelse med utstedelse og re-utstedelse av eID, og høringsinnspillene fra eID-utstederne viser at det fortsatt foreligger et behov for å kunne innhente denne opplysningen fra Folkeregisteret.
Undersøkelsene som ble foretatt av Digitaliseringsdirektoratet og Skattedirektoratet forut for høringen, viser at eID-tilbyderne i utgangspunktet ikke har behov for andre opplysninger enn de som allerede registreres i Folkeregisteret til dette formålet. Undersøkelsene viste også at opplysninger om utenlandske identifikasjonsnumre innhentes i begrenset grad.
De fleste høringsinstansene var positive til forslaget om en permanent hjemmel for innhenting av opplysninger om utenlandske identifikasjonsnumre fra Folkeregisteret. Departementet mener det ikke er et argument mot forslaget at opplysninger om utenlandske identifikasjonsnumre ikke innhentes i særlig stor grad i dag. Som BankID BankAxept AS skriver i sin høringsuttalelse, så vil muligheten for eID-utstedere til å innhente utenlandske identifikasjonsnumre i noen tilfeller gi bedre identitetskontroll og dermed muliggjøre eID-utstedelse til enkelte grupper som i dag har utfordringer med å få eID.
Selv om opplysninger om utenlandske identifikasjonsnumre innhentes i begrenset grad i dag, mener departementet at det vil være uheldig å fjerne muligheten. Departementet anser muligheten til å innhente utenlandske identifikasjonsnumre som viktig i de tilfellene der det skjer, fordi dette innebærer utstedelse av eID til personer som ellers ikke ville hatt mulighet til å skaffe seg dette.
Noe av årsaken til at hjemmelen ikke har blitt benyttet i større utstrekning, er at datakvaliteten på utenlandske identifikasjonsnumre i Folkeregisteret er av varierende kvalitet og derfor ikke vil kunne gi en sikker kobling i alle tilfeller, slik Skattedirektoratet skriver i sin høringsuttalelse. Også Buypass påpeker at de har observert mangelfulle data i Folkeregisteret, men imøteser tiltak som kan bedre datakvaliteten og gjøre det mulig å finne utenlandske identifikasjonsnumre for flere personer enn hva som er mulig i dag.
Departementet mener at lovforslaget vil innebære en styrket mulighet for kontroll for eID-utstederne, som er underlagt strenge krav til identitetskontroll, i forbindelse med utstedelse av eID. Hjemmelen som foreslås, vil avgrenses gjennom forskrift til å gjelde eID-tilbyderes innhenting av utenlandske identifikasjonsnumre fra Folkeregisteret.
Behovsanalysene som ble foretatt forut for høringen, viser at behovet for en entydig identifikator også kan gjelde andre grupper enn eID-tilbydere. De samme analysene viser imidlertid at det er flere ting som bør være på plass eller utredes nærmere, før man kan ha en fullgod og varig løsning som dekker flere behov. Høringsinstansene ga ikke uttrykk for spesifikke behov utover hva som har blitt dekket av den midlertidige hjemmelen. Departementet foreslår derfor ikke at hjemmelen skal gjelde for andre enn eID-tilbydere eller omfatte flere opplysninger enn utenlandske identifikasjonsnumre.
Skattedirektoratet og flere privatpersoner mente i høringen at personvernkonsekvensene av forslaget ikke er tilstrekkelig utredet eller omtalt. Departementet viser til at det med innføringen av en lovhjemmel for innhenting av taushetsbelagte opplysninger fra Folkeregisteret, sammen med en konkretisering i forskrift av hvilke opplysninger som kan innhentes, vil foreligge et lovlig behandlingsgrunnlag.
Kun tre private og én offentlig aktør, BankID BankAxept AS, Commfides Norge AS, Buypass AS og Digitaliseringsdirektoratet (MinID), hadde tilgang etter den midlertidige hjemmelen i selvdeklarasjonsforskriften, og det kun til bruk i forbindelse med utstedelse og re-utstedelse av eID. Den permanente hjemmelen som nå foreslås, vil i praksis bare være aktuell å benytte for de private aktørene, siden Digitaliseringsdirektoratet har fått hjemmel i lov av 9. juni 2023 om Digitaliseringsdirektoratets tilgang til taushetsbelagte opplysninger i Folkeregisteret.
Etter departementets vurdering er forslaget lite inngripende. Relevant for vurderingen er bl.a. at opplysninger om utenlandske identifikasjonsnumre ikke er å anse som opplysninger om personlige forhold etter forvaltningsloven, selv om de er taushetsbelagt etter folkeregisterloven.
Innhenting av utenlandske identifikasjonsnumre er etter departementets vurdering nødvendig for å ivareta den registrertes interesser og for å utføre oppgaver av allmenn interesse. Departementet vurderer det slik at den foreslåtte nye hjemmelen i § 1 a i lov om elektroniske tillitstjenester, kombinert med forskrift, gir eID-utstederne supplerende hjemmelsgrunnlag i nasjonal rett for behandling av taushetsbelagte opplysninger innhentet fra Folkeregisteret, jf. personvernforordningen art. 6 nr. 1.
Det vil gagne innbyggeren å kunne få tilgang til digitale tjenester fra offentlig sektor. Manglende tilgang vil kunne føre til risiko for tap av økonomiske rettigheter. I de tilfellene der utenlandske identifikasjonsnumre kan benyttes, vil derfor fordelene for den registrerte langt overgå eventuelle ulemper som følge av økt bruk av opplysningene.
Departementet viser til at Datatilsynet i sin høringsuttalelse skriver at de mener forslaget vil være til gunst for registrerte som ønsker å være digitale, og påpeker at de ikke kan se noen vesentlig personvernmessig grunn til at opplysninger om utenlandske identifikasjonsnumre skal være underlagt andre restriksjoner enn fødsels- og d-nummer.
Datatilsynet er positive til at forslaget ikke innebærer innhenting av overskuddsinformasjon, og støtter at det skal fastsettes nærmere i forskrift hvilke opplysningstyper som kan innhentes. Datatilsynet viser til at dette vil gjøre det mer forutsigbart for de registrerte, så vel som tydelig for tilbyderne av eID, hvilke opplysningstyper som er relevante i forbindelse med utstedelse/bruk av eID.
Dersom det på et senere tidspunkt blir aktuelt å utvide hjemmelen til å omfatte flere opplysninger, må det eventuelt foretas ny vurdering av personvernkonsekvenser av et slikt forslag.
Skattedirektoratet stiller i sin høringsuttalelse spørsmål om utlevering av utenlandske identifikasjonsnumre er i samsvar med folkeregisterloven § 1-2 tredje punktum som setter rammer for hva opplysninger i Folkeregisteret kan brukes til. I folkeregisterloven § 1-2 siste punktum heter det at «Loven skal bidra til at opplysningene i Folkeregisteret skal kunne brukes til myndighetsoppgaver og offentlig forvaltning, forskning, statistikk og til å ivareta grunnleggende samfunnsbehov.»
Den foreslåtte hjemmelen vil etter departementets vurdering bidra til at «grunnleggende samfunnsbehov» ivaretas, gjennom å bidra til at det vil kunne utstedes eID til flere personer enn om innhenting av utenlandske identifikasjonsnumre ikke var mulig. En eID gjør det enklere for den enkelte å ivareta sine rettigheter og plikter i samfunnet, samtidig som den ved å bidra til økt bruk av digitale tjenester også bidrar til en mer effektiv offentlig sektor.
Departementet har merket seg Skattedirektoratets påpekning av at det er behov for bedre kvalitet på opplysningene om utenlandske identifikasjonsnumre uansett bruk, og deres forslag til tiltak som vil øke datakvaliteten. Departementet legger til grunn at slike tiltak vil kunne føre til økt bruk og dermed økt måloppnåelse når det gjelder utstedelse av eID til personer med d-nummer.
Departementet foreslår at hjemmelen for eID-utstedere for innhenting av utenlandske identifikasjonsnumre fastsettes i lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester). Forordningen (eIDAS-forordningen) gjelder for tilbydere av elektronisk ID og elektroniske tillitstjenester.
Formålet med forordningen er sikker elektronisk samhandling mellom borgere, foretak og offentlige myndigheter på tvers av landegrensene i EU/EØS. Sentralt i forordningen er krav til bekreftelse og kontroll av identitet. Gjennomføringsrettsakten (EU) 2015/1502 om fastsettelse av tekniske minstespesifikasjoner for elektroniske identifikasjonsmidler (identifikasjonsnivåforskriften) er gjennomført i forskrift 21. november 2019 nr. 1577 om tillitstjenester for elektroniske transaksjoner, fastsatt med hjemmel i lov om elektroniske tillitstjenester § 1 annet ledd, jf. delegeringsvedtak 8. november 2019 nr. 1491.
Norske tilpasninger til de konkrete kravene som skal oppfylles etter identifikasjonsnivåforskriften, fremgår av forskrift 21. november 2019 nr. 1578 om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften) del III. Det forutsettes i selvdeklarasjonsforskriften at eID-innehaveren må være registrert i det norske folkeregisteret, og at det foreligger en entydig knytning til personens fødsels- eller d-nummer.
Departementet foreslår at lovhjemmelen gir departementet kompetanse til å fastsette nærmere i forskrift hvilke opplysninger som uten hinder av taushetsplikt kan utleveres fra Folkeregisteret til eID-tilbydere i forbindelse med utstedelse og re-utstedelse av eID.