Nærings- og handelsdepartementet
Postboks 8014 Dep
0030 OSLO 


Deres ref. Deres brev Vår ref. Dato
1999/3735 29.02.2000 2000/000184 11.05.2000 



Forslag til lov om elektronisk signatur mv - Høringsuttalelse

Det vises til departementets utsendelse av lovforslag om elektronisk signatur mv av 29. februar 2000. Ved e-post av 22. februar 200 ble FNH og Sparebankforeningen gitt fristutsettelse til 12. mai med å avgi høringsuttalelse.

Generelt hilser de to foreninger velkommen en lov som regulerer elektroniske signaturer. En slik lov vil være med på å skape nødvendig tillit til slike signaturer i den innføringsfase vi nå er i, ikke minst gjennom at loven innebærer en viss offentligrettslig regulering av sertifikatutstedelse for dette formål. Videre antar vi at loven- sammen med arbeidet med å tilpasse lovgivningen for øvrig slik at dokumenter i elektronisk form aksepteres - vil kunne legitimere bruken av elektroniske signaturer bedre enn uten lovgivers støtte. Videre vil elektroniske signaturer lettere innføres fordi loven vil etablere et begrepsapparat for området.

Lovforslaget bygger på EU-direktivet om elektroniske signaturer av 13. desember 1999, som forutsetningsvis vil bli en del av EØS-avtalen. EU-direktivet har imidlertid en del kvalitative svakheter, og lovforslaget er i sin utformingen dessverre sterkt preget av at man i stor grad kun har oversatt og redigert direktivet. Loven regulerer et svært teknologisk preget område, likevel slik at loven forutsetningsvis også skal være tilgjengelig for lesere som bare kjenner de mer overordnede prinsipper. Det bør arbeides ytterligere for at loven får en utforming som tar høyde for dette, muligens ved å gi loven en mer beskrivende form. Vi antar at lovutkastet er noe preget av den korte tiden det er blitt til på, slik at mye nok kan vinnes i klarhet og form i forbindelse med den gjennomgang som må skje i forbindelse med departementets og eventuelt Lovavdelingens gjennomgang etter høringsrunden.

Til de enkelte paragrafer vil vi bemerke følgende:

Til § 2:
Vi reiser spørsmål om det er riktigere filologisk, og dessuten mer i samsvar med den engelske og danske versjonen av EU-direktivet, å kalle det for sertifiseringstjenester fremfor sertifikattjenester.

Lovutkastet gjelder for tilbydere av sertifikattjenester. Tilbyder av sertifikattjenester er definert i § 3 nr 11 som både de som utsteder sertifikater og de som tilbyr andre tjenester relatert til elektronisk signatur. Lovutkastet § 2 synes imidlertid å begrense lovens virkeområde til de av tilbyderne av sertifikattjenester som utsteder sertifikater. Det synes således som at de som tilbyr andre tjenester relatert til elektronisk signatur faller utenfor. Vi antar dette ikke har vært meningen, og at paragrafens fokuseringen på utstedelse egentlig er knyttet til det forhold at loven skal gjelde der sertifikatene er ment for (det vil si "utstedt til") allmennheten. Loven bør omformuleres slik at denne uklarhet kan unngås. Denne uklarheten "gjentas" videre gjennomgående i hele kapittel III og for så vidt også i meldepliktbestemmelsen i § 16 og ansvarsbestemmelsen i § 21. Vi viser også til våre kommentarer der.

Vi peker i denne sammenheng også på at selve begrepet "utstede" kan være noe uklart. For eksempel er det uklart hvor langt bakover i "underleverandørkjeden" dette rekker. Se også om dette forhold under våre merknader til definisjon av "tilbyder av sertifikattjenester" under § 3 nr 11.

Begrepet "allmennheten" er også brukt i andre sammenhenger i lovgivningen for øvrig. I lovutkastet oppfatter vi regelen blant annet som et uttrykk for at loven ikke skal gjelde såkalte lukkede systemer. Vi antar en intensjon ved loven er å gi et sterkt vern for flest mulig brukere av sertifikattjenester, selv om brukerne lar seg avgrense til en bestemt krets, for eksempel en etablert kundekrets. Hvis en bank - eller en annen tjenesteleverandør - tilbyr sertifikater til alle sine kunder for bruk til autentisering mellom kunde og tjenesteleverandør, taler hensynet til kundene for å la sertifikatutstedelsen omfattes av loven. Lukkede systemer og begrepet "allmenheten" i lovutkastet bør tolkes i forhold til dette. 

Selv om lukkede systemer unntas fra lovens anvendelsesområde, antar vi at loven gjelder i forhold hvor det bare er utsteder som verifiserer egne sertifikater, det vil si i miljøer der det ikke finnes andre aktører som kryssertifiserer (det vil si "garanterer" for andres sertifikater). 

Til § 3:
Generelt til definisjonsparagrafen vil vi bemerket at det er benyttet noen "fremmede" og noe tekniske begreper uten at disse alltid oppfattes like entydig i språket vårt. Dette gjelder for eksempel "autentisere" og "identifisere", se også om disse nedenfor. Vi tror lovgiver i denne sammenheng vil kunne gjøre loven mer tilgjengelig dersom definisjonene blir mer utførlige og ikke alltid bare en oversettelse og redigering av EU-direktivet. 

Til nr 2; ordet "autentiseringsmetode" bør defineres eller gis en mer "folkelig" beskrivelse, eventuelt gis en bredere omtale i forarbeidene. I miljøer som arbeider med elektroniske signaturer forstås med "autentisere" gjerne å verifisere en påstått identitet. I departementets kommentarer til paragrafens nr 3 gis en omtale av begrepet "autentisere". Her står det at kravene i utkastet § 3 nr 3 bokstav a) og b) til sammen sikrer autentisering. Vi er noe usikre på om dette er helt i samsvar med alminnelig oppfatning av å "autentisere" som vel først og fremst oppfattes som å bekrefte/dokumentere ektheten av noe. Vi tror derfor at departementet i definisjonen av elektronisk signatur i § 3 nr 2 i stedet for å bruke begrepet "autentiseringsmetode", bør vurdere om man heller bør innta kravene fra paragrafens nr 3 bokstav a) og b). 

Vi viser i denne sammenheng også til at begrepet "autentifisering" er benyttet i finansavtaleloven § 8, men at begrepet i merknadene til denne paragraf er gitt et litt annet innhold enn i lovutkastet om elektronisk signatur. I forarbeidene til finansavtaleloven, Ot prp 41 (1998-99) side 26 første spalte sies således at kravet om at en betryggende metode for å "autentifisere" en avtaleinngåelse betyr at metoden må være egnet til å:
a. identifisere avsenderen av meldingen i forbindelse med avtaleinngåelsen
b. vise at meldingen er sendt i den hensikt å foreta en rettslig disposisjon
c. å sikre bevis i tilfelle en senere konflikt om avtalens eksistens og innhold. 
Dette i seg selv viser også behovet for en klargjøring av begrepet "autentisering" i selve loven.

Til nr 3 bokstav b); det bør også vurderes å presisere begrepet "identifisere"; blant annet om det vil stilles krav om helt entydig identifisering ved bruk av fødselsnummer eller annen unik identifikator slik at det kun er ett individ som kan være aktuelt. Begrepet identifisere kan også reise en del spørsmål i forhold til å benytte pseudonym og sertifikater basert på roller. 

Vilkåret "kan identifisere" kan oppfattes som at det gis en opsjon på om dette kravet skal oppfylles. Vi foreslår at bokstav b) heller lyder slik; "identifiserer undertegneren". Dette mener vi også harmoniserer bedre med engelsk versjon av EU-direktivet.

Til nr 3 bokstav c); "som undertegneren har kontroll over" foreslår vi endres til "som undertegneren kan bevarekontroll over". Dette er mer i samsvar med hva som er den reelle situasjonen, samtidig som dette harmoniserer bedre med engelsk versjon av EU-direktivet.

Til nr 4; det bør vurderes å benytte et mer spesifikt ord enn "sikkert" i begrepet "sikkert signaturfremstillingsprodukt". Sistnevnte begrep er i loven ment som en definisjon eller et entydig begrep, jfr § 7, uten at det er lett å forstå ut i fra ordlyden i nr 4.

Til nr 10; definisjonen av sertifikat bør lyde; "en elektronisk attestasjon som knytter signaturverifikasjonsdata til identiteten til en person (alternativt; underskriver)og samtidig bekrefter identiteten til denne personen (alternativt; underskriver)". Igjen viser vi til den engelske versjonen som vi mener er bedre. Vi er usikre på i hvilken grad definisjonen stenger eller er ment å stenge for bruk av pseudonym. 

Til nr 11; vi viser til vår merknad under § 2 om det bør kalles sertifiseringstjenester fremfor sertifikattjenester. 

Tilbyder av sertifikattjenester defineres som både en utsteder av sertifikater og en som tilbyr andre tjenester. Som nevnt tidligere under vår merknad til § 2, anbefaler vi at begrepet "utsteder" klargjøres, blant annet fordi det er uklart hvor langt ned i "underleverandørkjeden" dette rekker. 

Det er vel vanlig å anta at det er minst fire forskjellige roller i forbindelse med sertifikattjenester: Registreringsenheten er den som har kundekontakt, kontrollerer kundens identitet og så videre. Sertifikatutsteder er den som er oppført i sertifikatet som utsteder og normalt er den som har påtatt seg det kontraktsmessige ansvar overfor underskriver (sertifikatinnehaver) for sertifikatets funksjon og virkemåte. Sertifikatprodusenten forestår nøkkelgenerering og produksjon av fysiske kort der programvare og data lagres (det vil si sertifikatet). Endelig har vi leverandører av verifikasjonstjenester, katalogtjenester og databasetjenester og lignende.

Vi går ut fra at når lovutkastet benevner noen som utstedere av sertifikater, mener lovgiver kun vedkommende som i følge vår ovennevnte redegjørelse er kalt sertifikatutsteder. 

Det er kanskje enda mer uklart hvor langt ned i " underleverandørkjeden " alternativet til å utstede, nemlig det å "tilby andre tjenester relatert til elektronisk signatur", rekker. For eksempel kan det reises spørsmål om en nettverksleverandør tilbyr tjenester relatert til elektronisk signatur ved å formidle de elektroniske signaler som signaturen består av. Vi antar imidlertid at nettverksleverandørene er ment å falle utenfor definisjonen av tilbydere av sertifikattjenester, og at det er de som yter tjeneste til "sluttbrukerne" som skal omfattes. Sluttbrukerne er de som benytter seg at elektroniske sertifikater (undertegner) og de som får presentert og må stole på elektroniske signaturer (signaturmottaker). Vi har merket oss det som står i departementets merknader til § 3 nr 11 (side 34) om at begrepet vil være dynamisk i forhold til utviklingen i markedet. Vi anbefaler likevel at man gjennom eksempler i lovteksten eller på annen måte klargjør eller beskriver noe bedre hvilke andre tjenester det tenkes på i definisjonen. Blant annet er vi noe forbauset over at departementet i kommentarene nevner konsulenttjenester som en mulig tilknyttet tjeneste. Vi antar de relaterte tjenestene først og fremst bør omfatte det loven § 11 kaller katalogtjeneste og tilbakekallingstjeneste, samt verifikasjonstjeneste (bekrefte gyldig sertifikat/signatur) og å garantere for sertifikater utstedt av andre (jfr beskrivelsen i erstatningsbestemmelsen § 21), men dessuten også tidsstempling og arkivering av signerte dokumenter.

Om det bør lages enda en definisjon; vi reiser spørsmål om også vedkommende som stoler på en elektronisk signatur (signaturmottaker) bør gis en benevnelse eller definisjon. Dette begrepet vil i så fall kunne benyttes til å angi sluttbrukerne av andre relaterte tjenester, jfr våre merknader om dette ovenfor, samt hvilke som bør ha krav på å få bekreftet gyldig sertifikat/signatur (verifisering) og dessuten bedre angi hvilke som kan være dekket av erstatningsreglene i § 21.

Til § 4:
Til bokstav c); vi fraråder at et kvalifisert sertifikat skal kunne baseres på pseudonym. Dette er ikke forenlig med norsk rettstradisjon eller de behov vi antar slike sertifikater og signaturer skal tjene. Vi forstår punkt 25 i fortalen i EU-direktivet dithen at det enkelte land fritt kan la være å tillate bruk av pseudonym. Vi er videre usikre på hvordan muligheten til å benytte pseudonym stiller seg i forhold til utkastets § 12 om kontroll av undertegners identitet. 

Vi går ut fra at når man benytter begrepet pseudonym i lovutkastet, ikke har ment å regulere de "rene" rollesertifikater, altså et sertifikat for eksempel for den som til enhver tid er administrerende direktør eller prokurist i et bestemt selskap uten at vedkommendes navn er nevnt. 

Til bokstav d); vi er usikre på hva som tenkes på med begrepet "ytterligere opplysninger om undertegneren". Ut fra lovens ordlyd er det naturlig å tenke på informasjon om fødselsnummer eller annet unikt identifiseringsnummer. I departementets merknader nevnes et forsikringsselskaps polisenummer som eksempel. Det vil i så fall også kunne være aktuelt med et bankkontonummer. Ved å angi bankkontonummer vil man imidlertid også angi at vedkommende har rett til å disponere nevnte bankkonto, det vil si sertifikatet peker på en rolle for innehaver. Det er da lett å trekke dette videre til også å omfatte annen rolleinformasjon, for eksempel at vedkommende er prokurist eller administrerende direktør i et bestemt firma. I fall det er rolleinformasjon som det tenkes på, bør det sies klarere i loven.

Til bokstav e); vi finner definisjonens presisering om at signaturfremstillingsdataene må være under utsteders kontroll på utstedelsestidspunktetuklar. Utstedelsestidspunktet er ikke nødvendigvis entydig og kan omfatte både tidspunkt for inngåelse av avtale om sertifikat, produksjonstidspunktet og utleveringstidspunktet. Vi finner heller ikke igjen krav om utstedelsestidspunkt i EU-direktivet.

Til bokstav i); det bør klargjøres hva man mener med "anvendelsesområde" for sertifikatet. Begrensninger med hensyn til hva sertifikatet kan brukes til, kan skje på mange "plan". En måte er i forhold til hvilken type sikkerhetstjenester; for eksempel at sertifikatet kan benyttes enten for autentisering, kryptering eller til å lage (kvalifisert) elektronisk signatur. En annen begrensningsmåte kan være i forhold til hvilke typer transaksjoner eller hvilke typer meldinger sertifikatet kan benyttes for; at det bare kan benyttes for å sende ordre om aksjehandel eller bare for bestilling av varer på internett. Begrensingen kan også være i forhold til hvilke aktører det kan benyttes mellom, for eksempel at sertifikatet kun kan benyttes i dialog med en bank.

Til bokstav j); vi reiser spørsmål hvordan utkastets krav om beløpsmessige begrensninger skal forstås i forskjellige sammenhenger. Dersom formålet med bestemmelsen er å gi mottaker (den som stoler på den elektroniske signaturen) et varsel om beløpsrammen for hvilke tap han eventuelt kan kreve erstattet i henhold til utkastet § 21 annet ledd, bør dette sies klarere. Slik definisjonen er utformet synes det imidlertid å ligge mer i beløpsgrensen. Det kan imidlertid reises spørsmål om hvilken betydning denne beløpsgrensen kan ha for gyldigheten av signaturen der det er lovbestemte krav om underskrift, eventuelt om det kan medføre delvis ugyldighet dersom signaturen i slike tilfeller benyttes for transaksjoner over angitt beløp. Det er dessuten uklart hvordan beløpsbegrensningen skal forstås. Beløpsgrensen må for eksempel antas å måtte hensyntas ved signering av avtale med en stipulert salgspris (om salgsprisen er over eller under beløpsgrensen), men neppe der sertifikatet benyttes for å signere en momsoppgave, selv om oppgitt omsetningsbeløp er over beløpsgrensen.

Til § 5:
At "handlingen kangjennomføres elektronisk" går vi ut fra refererer seg til at det er rettslig adgang til det, ikke at det bare er teknisk mulighet til å gjøre det. Dette bør presiseres.

Lovutkastet synes å forutsette at lovverket for øvrig gjennomgående benytter begrepet "signatur" der det stilles krav om en håndskreven underskrift. Dette er neppe tilfellet. Vi går ut fra at det i lover og forskrifter like gjerne bestemmes at noen skal "underskrive" eller "signere". Videre kan reises spørsmål om hvordan det vil forholde seg til utkastet § 5 dersom lovkravet er at en erklæring eller avtale skal være "skriftlig"; innebærer dette krav også om underskrift eller er det kun et krav om at innholdet i erklæringen må være med skrifttegn? Det er mulig at man i det såkalte kartleggingsprosjektet, der lovverket for øvrig skal gjennomgås for å tilpasses elektroniske dokumenter og underskrifter vil hensynta og avklare disse forhold. 

Den uklarhet som er nevnt over, kan nok skyldes at man har formulert en generell lovregel på bakgrunn av de prinsipper EU-direktivet slår fast i artikkel 5. Her pålegges lovgiverne i de enkelte medlemsland gjennom sin lovgivning å sikre at kvalifisert elektronisk signatur skal oppfylle eventuelle lovkrav om håndskreven signatur, samt at en elektronisk signatur ikke nektes gyldighet på det grunnlag at den er i elektronisk form, ikke er kvalifisert og så videre. Dette vil etter vår oppfatning best kunne oppfylles ved at lovgiverne i det enkelte land konkret går gjennom sine lover og tilpasser disse under hensyn til ovennevnte prinsipper. En teknikk med å forme en generell lovregel med samme innhold som prinsippene knesatt i EU-direktivets artikkel 5, vil derimot lett kunne skape slike uklarheter som vi har nevnt ovenfor.

Det kan være noe uklart hvor langt lovforslaget har ment å rekke i tilfellet krav om signatur bygger på en forutsetning gjort i privatrettslig avtale mellom to eller flere parter, jfr at kravet om signatur også kan fremkomme på "annen måte" enn i lov og forskrift. 

Lovutkastet foreslår at en kvalifisert (elektronisk) signatur alltid skal oppfylle eventuelle lovkrav om signatur for at en handling skal få en bestemt rettsvirkning så fremt handlingen kan gjennomføres elektronisk. Som nevnt i kommentaren vår til § 4 bokstav j), kan det i denne sammenheng reises spørsmål om hvilken betydning det kan få hvis signaturen er dannet på grunnlag av et sertifikat med beløpsangitte bruksbegrensninger under det som den aktuelle handling gjelder. 

Lovutkastet sier at også ikke-kvalifiserte elektroniske signaturer kan få (det vil si ikke er utelukket å få) rettsvirkning selv om det oppstilles lovkrav om signatur som betingelse for en rettsvirkning. Det er uklart i hvilke situasjoner kan slike rettsvirkninger oppnås. Er det i så fall forutsetning om at hjemmel for rettsvirkninger ved bruk av ikke-kvalifisert signatur må finnes i annen lovgivning? 

Til § 8:
Når utkastet første ledd bestemmer at kravene " til et sikkert signaturfremstillingsprodukt i § 7 skal anses oppfylt", forstår vi lovutkastet slik at dette ikke er eneste måten å oppfylle kravene til sikre signaturfremstillingsprodukter på. Vi leser utkastet slik at ved bruk av nevnte standarder vil kravene i § 7 i alle tilfeller være oppfylt, men kravet kan også oppfylles på annen måte. Departementets redegjørelse i punkt 8.7 i høringsnotatet sier imidlertid tilsynelatende det motsatte: " Sikre signaturfremstillingsprodukter kan først tas i bruk etter at de har blitt godkjent av Europakommisjonen eller av et nasjonalt organ." Dette bør klargjøres. 

Det er uklart om paragrafens annet ledd bestemmer at dersom man ønsker å tilby et signaturfremstillingsprodukt som kan fremstille kvalifiserte elektronisk signatur må dette produktet være godkjent av en nærmere angitt instans, eller om regelen bare søker å klargjøre at i fall produktet er godkjent av nevnte instans kan man være sikker på at produktet oppfyller nødvendige krav for å kunne benyttes for kvalifiserte elektroniske signaturer. Vi legger til grunn at det er sistnevnte forståelse som er best i samsvar med EU-direktivet.

Til kapittel III:
Generelt vil vi bemerke at det kan virke uheldig at man i kapitteloverskriften og i innledningen til alle paragrafene omtaler "tilbydereav sertifikattjenester som utsteder…. sertifikater". Etter definisjonen i utkastet § 3 nr 11 kan en tilbyder av sertifikattjenester enten være utstedereller tilbytjenester "relatert til elektronisk signatur". Man kan da (mis)forstå det slik at reglene i kapittel III bare gjelder de tilbydere som er utstedere, og ikke de som tilbyr "relaterte" tjenester. For oss synes noen av bestemmelsene i kapittelet bare å gjelde for selve sertifikatutstedelsen, mens andre bestemmelser også bør gjelde tilbydere av relaterte tjenester.

Til § 10:
Vi fraråder bruk av ordet "garantere" i første ledd da dette ordet i juridisk sammenheng gjerne forutsetter beskrivelse av konsekvens/følge dersom kravet ikke tilfredsstilles. Videre kan vi ikke se noen adressat for den omtalte garantien. Det kan for eksempel isteden formuleres slik at det systemet som brukes "girteknisk og kryptografisk sikkerhet i understøttende prosesser".

Til § 11:
Her innføres begrepene katalog- og tilbakekallingstjeneste uten at disse er omtalt eller beskrevet tidligere i lovutkastet. Vi går ut i fra at katalogtjenesten gjelder katalog over signaturverifiseringsdata, det vil si er et tilbud som først og fremst benyttes av mottaker av en signatur. I denne sammenheng vil vi nevne at det bør vurderes om ikke verifiseringstjenesten/-plikten bør gis en bredere omtale i lovutkastet. 

Annet ledd er noe upresis og språklig uheldig. En tjeneste som sådan kan neppe "inneholde" opplysninger.

Til § 12:
Vi fraråder bruk av ordet "ansvarlig" da dette ordet i juridisk sammenheng gjerne forutsetter en konsekvens/følge dersom kravet ikke tilfredsstilles. Vi foreslår at loven heller krever at tilbyder av sertifikattjenester "må påse at" identiteten er riktig.

Vi er ellers noe forundret over at bestemmelsen legger opp til en så vidt upresis angivelse av identitetskontrollen av undertegneren, ikke minst på bakgrunn av at de tekniske krav og kvaliteter er svært detaljert beskrevet. Nettopp kontrollen av sertifikatholders identitet og utlevering av sertifikatet til denne er helt avgjørende for kvaliteten og tilliten til signaturtjenesten. Vi tviler på at publikum er i stand til å vurdere og gjøre seg opp noen oppfatning om kvaliteten på denne del av tjenesten på grunnlag av opplysinger om rutinene for identitetskontroll.

Avgjørende for tilliten til sertifikater i et uregulert "marked" er et dokument som i bransjen ofte kalles sertifikatpolicy. Dette dokument angir sikkerhetsnivået for tjenesten gjennom en beskrivelse av regler for utstedelse og behandling av sertifikater, bruk av standarder og så videre. Vi finner det noe underlig at lovgiver i lovutkastet finner den del av en policy som gjelder kontroll av undertegnerens identitet så viktig at den må reguleres særskilt, mens man for øvrig i loven er helt taus om forhold som man ellers finner i et slikt policydokument.

Til § 13:
Merknadene til paragrafutkastet uttaler at bestemmelsen skal sikre at opplysningene skal kunne fremlegges som bevis i rettssaker. Plikten til oppbevaring ut over gyldighetsperioden for sertifikatet må imidlertid også være begrunnet i behovet for å bekrefte sertifikat/signatur etter gyldighetsperioden også utenfor rettssaker. Som nevnt i under vår kommentar til § 11, mener vi at denne verifiseringsplikten generelt bør komme klarere til uttrykk i loven. 

Til § 14:
Det bør vurderes om man ikke bør presisere at bestemmelsen omtaler avtalen mellom sertifikatutsteder og undertegner (sertifikatholder), slik at man ikke kan misforstå å tro at den lovutkastet kaller "motparten" kan være sertifikatutsteders medhjelper. 

Vi reiser spørsmål om ikke forhåndsinformasjonen også bør omfatte mulig ansvar ved misbruk/uberettiget bruk av sertifikatet. 

Vi forutsetter at det bare skal opplyses om de akkrediterings-/sertifiseringsordninger som tilbyder har benyttet seg av for sitt sertifikat, jfr bokstav b). Dette bør klargjøres.

Med hensyn til å sende informasjonen i første ledd i elektronisk form, synes ikke forutsetningen om at det må skje på en for motparten "umiddelbar lesbar form" som heldig. Det er mulig å legge ganske forskjellige krav i dette skjønnstemaet. 

Til § 16:
Vi støtter forslaget om at det i EU-direktivet artikkel 3 nr 3 forutsatte kontrollsystem blir en meldepliktsordning. 

På grunn av at det er uklart hvor langt begrepet tilbyder av sertifikattjenester går ned i "underleverandørkjeden", jfr vår merknad til § 3 nr 11, er det også uklart hvem som pålegges plikt til å sende registreringsmelding.

Til § 17:
Paragrafens overskrift kan lede tanken hen til at tilsynshjemmelen kun gjelder tilbydere som faktisk utsteder kvalifiserte sertifikater. Vi antar dette ikke er meningen.

Vi kan ikke se at begrepet IT-revisjon er klart nok definert eller har en entydig mening for øvrig. Videre synes det av departementets merknader at IT-revisjon bare skal iverksettes dersom det er særlig grunn for det, for eksempel fordi det er gitt mangelfulle informasjoner eller fordi tilsynet antar det er grunn til å tro at tilbyder ikke lenger oppfyller lovens krav. Slike begrensninger kommer ikke til uttrykk i lovteksten. 

Til § 20:
Siste avsnitt som gir Kongen hjemmel til å fastsette at overtredelse av også andre bestemmelser i loven bør utgå. Hvilke bestemmelser det er straffesanksjonert å overtre bør fremgå av loven.

Til § 21:
Vi er enige i at lovgiver bør legge seg på minimumsvarianten med hensyn til ansvar og ansvarsgrunnlag.

Vi forstår bokstav a) dithen at dersom sertifikatet inneholder informasjon ut over de som er nevnt i § 4, gjelder erstatningsregelen også dersom denne "merinformasjonen" ikke var korrekt. Vi er noe usikre på om dette er en heldig regel i alle tilfeller.

Vi savner en klarere regel om tilbyder av sertifikattjenester er erstatningsansvarlig etter bestemmelsen også dersom sertifikatet er utlevert til en annen person enn den hvis identitet fremgår av sertifikatet. Vi ser at det i departementets merknader til bestemmelsen henvises til § 12 om kontroll ved utlevering av sertifikatet, uten at dette nødvendigvis klargjør om utlevering til feil person faller inn under erstatningsregelen i § 21 eller om dette forhold reguleres av de alminnelige erstatningsregler for øvrig. Vi antar at det er bestemmelsens bokstav d) som i så fall krever en presisering om dette forhold.

Paragrafutkastets bokstav e) bør formuleres noe mer presist i forhold til den situasjonen som foranlediger ansvar samt harmoniseres bedre med begrepsbruken i utkastet § 11.

Vi oppfatter ellers utkastet slik at en tilbyder av sertifikattjenester fritt kan begrense sitt ansvar som måtte følge av alminnelige erstatningsregler, både for kvalifiserte og ikke-kvalifiserte sertifikater. Dette gjelder uansett om beløpsgrenser eller bruksbegrensninger fremgår av sertifikatet eller ikke, men selvfølgelig forutsatt at vedkommende kan anses å ha akseptert ansvarsbegrensningen. 

Med vennlig hilsen
FINANSNÆRINGENS HOVEDORGANISASJON 



Ingvar Strøm 
Viseadm dir 


SPAREBANKFORENINGEN I NORGE



Einar Forsbak
adm dir