Arbeids- og administrasjonsdepartementet
Postboks 8004 Dep
0030 OSLO
Deres ref: Vår ref:
200400866 FNH: 2004/00179 Oslo, 22. april 2004
Sparebankf: 200100233
Det vises til departementets brev av 15. mars 2004 med forslag til reviderte forskrifter om elektronisk kommunikasjon med og i forvaltningen.
Finansnæringens Servicekontor (FNH) og Sparebankforeningens Servicekontor antar at det er hensiktsmessig å ha forskrifter om elektronisk kommunikasjon med og i forvaltningen. Dette legger gode føringer for forvaltningen i forbindelse med etablering av rutiner og prosedyrer for elektronisk kommunikasjon. Dette er viktig ikke minst nå når mange etater er i ferd med å legge til rette for slik kommunikasjon. Felles føringer for flere etater vil også kunne medføre at publikum kjenner igjen måter og metoder på tvers av forvaltningen. Slik gjenkjennelighet tror vi er viktig for å skape den nødvendige tillit og trygghet slik at brukerne faktisk tar ”dette nye” i bruk. Forskriften inneholder dessuten en del bestemmelser som vi tror kunne veilede publikum når det gjelder hvilke ”rettigheter” man har i forbindelse med elektronisk kommunikasjon med det offentlige.
De materielle reglene i forskriftsutkastet synes å være godt gjennomarbeidet. Utkastet er etter vår vurdering stort sett forbedringer av den hittil gjeldende forskrift. Vi ser imidlertid at det er svært kort tid som gjenstår før den nye forskriften skal tre i kraft. Fordi den nye forskriften skal være klar allerede fra 1. juli, er det vel grunn til å tro at departementet neppe vil rekke å kunne ta særlig hensyn til de innspill som nå kommer fra høringsinstansene. Vi legger imidlertid merke til at enkelte av våre innspill fra høringsrunden senhøstes 2001 – som ikke ble tatt hensyn til da nåværende forskrifter ble vedtatt – nå er innarbeidet i utkastet.
Vi merker oss ellers at man i utkastet, blant annet i § 12 (tidligere § 19), har forsøkt å rette opp formuleringer som kunne oppfattes slik at forkriften direkte påla publikum eller sertifikatutstederen plikter. Fortsatt kan likevel forskriftsutkastet misforstås dit hen at publikum pålegges plikter. For eksempel burde det i utkastet kapittel 5 klarere fremgå at man med ”innehaver av signaturfremstillingsdata” mener en ansatt i offentlig forvaltning eller en annen som opptrer på vegne av forvaltningen.
I denne sammenheng nevner vi også at bestemmelsen i § 17 tredje ledd kan misforstås til å være ment som en generell hjemmel for å pålegge publikum begrensinger med hensyn til bruk av sertifikater de har anskaffet – endog at sertifikatutsteder med hjemmel i forskriften skal kunne pålegges å innta bruksbegrensninger i sertifikatet. Vi kan ikke se at hverken forvaltningsloven eller esignaturloven gir slike hjemler. Skal publikum eller sertifikatutsteder pålegges dette, må man finne hjemmelsgrunnlag et annet sted, for eksempel gjennom avtale med sertifikatutsteder. Vi mener videre at også § 19 er med på å skape uklare grenser for oppgavefordelingen mellom det offentlige og private. Det må være tilbyderne av sertifikater som primært skal stå for veiledning om sine produkter og nødvendige sikkerhetsforanstaltninger ved bruk av disse. Det blir feil hvis det er forvaltningen som skal ha en alminnelig veiledningsoppgave om produkter i markedet.
Det enkelte forvaltningsorgan har etter så vel gjeldende forskrift som utkastet stor frihet til å fastsette bruk av sikkerhetstjenester og –produkter. Til ”hjelp” for dette kan Kongen utpeke et koordinerende organ. Vi vil i denne sammenheng peke på nødvendigheten av å velge ”riktig” sikkerhetsnivå. Vi ser dessverre tegn på at enkelte etater som er tidlig ute med å tilrettelegge for elektronisk kommunikasjon, ganske ureflektert krever at kommunikasjonen skal sikres ved såkalte kvalifiserte sertifikater uten nærmere begrunnelse enn at man for sitt område har behov for ”høyeste sikkerhetsnivå”. Dette gjelder både etater som først og fremst er opptatt av sikring av rett identitet eller ikke-benekting og etater som er opptatt av integritet. Her minner vi om at hvorvidt et sertifikat er kvalifisert eller ikke beror på en egenmeldingsordning og ingen godkjenningsordning. Vi nevner også i denne sammenheng at bankenes felles sertifikatløsning – BankID – som forventes å få forholdsvis bred utbredelse i Norge i løpet av 2004, i først omgang neppe vil bli meldt som kvalifisert sertifikat. Likevel anses BankID som sikker nok av en samlet norsk finansnæring til å sikre finansielle transaksjoner, både internt i næringen og mellom kunde og finansinstitusjon.
Med vennlig hilsen