Elektronisk signaturdirektivet: fellesskapsramme for elektroniske signaturer
Norske forskrifter kunngjort 3.9.2010
Bakgrunn
BAKGRUNN (fra St.prp. nr. 86 (1999-2000))
Nærmare om direktivet
Føremålet med europaparlaments- og rådsdirektiv 1999/93/EF er å sikre like reglar for rettsleg godkjenning av elektroniske signaturar og for akkreditering av sertifikatutferdarar i medlemsstatane.
Etter direktivet er ein elektronisk signatur ein kommunisert elektronisk signatur som identifiserer kven som sender ei elektronisk melding, på same måte som ein handskriven signatur identifiserer avsendaren ved papirbasert kommunikasjon. Signaturen vert utferda saman med eit sertifikat som knyter underteiknaren sin identitet til signaturen. Utferdaren av sertifikata går god for koplinga mellom signaturen og ein fastsett identitet. Europaparlaments- og rådsdirektiv 1999/93/EF regulerer i første rekkje verksemda til slike utferdarar av sertifikattenester. Statane må ikkje førehandsgodkjenne slike tilbydarar, men skal skipe eit system som gjer det mogleg å føre tilsyn med verksemda deira.
Det går fram av direktivet at tilbydarane si innsamling av persondata skal avgrensast til det som er naudsynt for utferding av sertifikat. Bakgrunnen for denne regelen er omsynet til personvernet til brukarane. Det går òg fram av direktivet at tilbydarar av sertifikattenester har erstatningsansvar m.a. for skade som følgje av at nokon lit på at sertifikatet er riktig. Føremålet med denne føresegna er å skape tillit til dei elektroniske signaturane.
Vidare inneheld direktivet reglar om rettsverknadene av dei elektroniske signaturane. Dei elektroniske signaturane som stettar tryggleikskrava i direktivet, dei såkalla kvalifiserte signaturane, skal godkjennast på lik linje med handskrivne signaturar, og skal kunne leggjast fram som prov i retten på same måte som handskrivne signaturar.
Direktivet seier òg at sertifikat som vert utferda til ålmenta som kvalifiserte sertifikat av tilbydarar av sertifikattenester som er etablerte i ein tredjestat, vert rekna som rettsleg jamstilte med sertifikat som er utferda av tilbydarar av sertifikattenester som er etablerte innanfor Fellesskapet.
Direktivet stiller ikkje krav om at statane må tillate elektronisk kommunikasjon, men omfattar berre dei tilfella der nasjonal rett opnar for elektronisk kommunikasjon. Vidare regulerer ikkje direktivet elektroniske signaturar som berre vert nytta innanfor system som byggjer på frivillige avtaler mellom ei avgrensa mengd deltakarar, omtala som lukka nett, t.d. nettbankar.
I medhald av direktivet skal det oppnemnast ein komité til å hjelpe Kommisjonen i gjennomføringa av direktivet. Komiteen er ein såkalla artikkel 100-komité, der EFTA/EØS-statane er sikra deltaking.
Tilhøvet til norsk rett
Det er i dag inga eiga regulering av bruken av elektroniske signaturar og tilhøyrande tenester i norsk rett. I fleire samanhengar har det likevel vore etterlyst lovregulering som skal leggje til rette for at elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal verte like akseptert, tillitsvekkjande og ha same juridiske truverd som tradisjonell skriftleg kommunikasjon og dokumentasjon, sjå m.a. St. meld. nr. 41 (1998-99) «Om elektronisk handel og forretningsdrift».
Delar av direktivet om elektroniske signaturar stiller absolutte krav overfor statane og som difor må gjennomførast i lov eller forskrift. Enkelte av føresegnene i direktivet står statane derimot fritt til å gjennomføre, t.d. regulering av ei frivillig akkrediteringsordning, eller «godkjenningsordning» av sertifikatutferdarar. Det er òg mogleg å sikre at verknadene av enkelte føresegner vert oppnådde på annan måte enn ved lovregulering dersom det er mest føremålstenleg, t.d. ved å oppmuntre til sjølvregulering av marknaden.
Til hausten vil Nærings- og handelsdepartementet fremje ein eigen odelstingsproposisjon med framlegg til lov om elektroniske signaturar, som vil gjennomføre europaparlaments- og rådsdirektiv 1999/93/EF i norsk rett. Dette framlegget vil gjennomføre heile direktivet, men likevel slik at departementet rår til at føresegnene om ei frivillig akkrediteringsordning bør vurderast på eit seinare tidspunkt.
Vurdering
Ein reknar med at direktivet vil påverke den norske marknaden for sertifikatutferdarar og elektroniske signaturprodukt i positiv retning. Å regulere tilbodet av kvalifiserte sertifikat vil stimulere til bruk av sertifikat med eit særleg høgt tryggleiksnivå. Direktivet vil medverke til at tilliten til marknaden og tilliten til bruk av elektroniske signaturar i samfunnet aukar. Dette kan igjen medverke til at signaturteknologi vert teken i bruk på brei basis.
Direktivet krev at det vert skipa ei obligatorisk tilsynsordning for utferdarar av kvalifiserte sertifikat. Tilsynet må stette visse kriterium. Desse kriteria vert utarbeidde av Kommisjonen med medverknad frå den førnemnde komiteen der EFTA/EØS-statane har rett til å ta del. Det vert gjort framlegg om at Post- og teletilsynet vert utpeikt som tilsyn for Noreg.
I ein startfase vil det vere ein viss økonomisk risiko for sertifikatutferdarar i samband med med å gå inn i ein ny marknad. Denne risikoen vert forsterka dersom utferdarane vert møtte av økonomiske barrierar i form av høge registreringsgebyr, tilsynsavgifter og liknande. Nærings- og handelsdepartementet vil sjå nærmare på korleis desse problema kan avhjelpast i ein startfase.
Nærings- og handelsdepartementet rår til at avgjerda i EØS-komiteen om å ta direktivet om elektroniske signaturar inn i EØS-avtala vert godkjend. Utanriksdepartementet sluttar seg til dette.