Auðkenning milli landa - eIDAS

 

  • Í Innskráningarþjónustu Ísland.is er nú hægt að auðkenna sig milli landa. Auðkenningin byggir á evrópskri reglugerð, „eIDAS regulation no 910/2014“. eIDAS skammstöfunin stendur fyrir „electronic Idendification And Signature.

Um eIDAS-reglugerðina

  • Reglugerðin tryggir að einstaklingar og fyrirtæki geta notað rafræna auðkenningarskipan síns eigin lands til að auðkenna sig á móti opinberum þjónustum innan ESB landanna auk Íslands og Noregs. Reglugerðin býr til innri markað fyrir veitendur rafrænnar traustþjónustu með því að tryggja samvirkni þvert á landamæri og sömu lagalegu stöðu í öllum löndunum og hefðbundnir „pappírsferlar” hafa. Markmiðið er að gera rafræna ferla að eðlilegum og hefðbundnum samskiptamáta.
  • Í reglugerðinni er fjallað meðal annars um eftirfarandi:
    • Rafræna auðkenningu, rafræn innsigli, rafræna tímastimpla, vefi og rafræna póstþjónustu.
    • Innri markað fyrir rafræna traustþjónustu.
    • Auðkenningu milli landa fyrir þjónustu opinberra aðila.
    • Réttaráhrif rafrænna lausna.

Tæknileg útfærsla

  • Tæknileg útfærsla reglugerðarinnar byggir á því að í hverju landi er komið upp svokölluðum eIDAS-nóðum sem skiptast á upplýsingum sín á milli. Helstu aðilar sem starfsemi nóðanna snerta eru:
    1. Stjórnendur nóðu. Aðili sem ber ábyrgð á því að auðkenningarnóðan starfi rétt og að hægt sé að treysta á nóðuna sem tengipunkt.
    2. Eigindaveitur. Aðilar svo sem þjóðskrá, fyrirtækjaskrá og bifreiðaskrá sem veita frekari upplýsingar um hinn auðkennda.
    3. Auðkenningaraðilar. Aðilar sem bera ábyrgð á að staðfesta að notandinn sé sá sem hann segist vera og setja fram sannreynd gögn þar að lútandi.
    4. Þjónustuveitendur. Aðilar sem bjóða upp á þjónustur á vefnum sem treysta á rafræna auðkenningu notenda.
    5. Notendur. Almennur notandi (borgari) sem hyggst nýta sér rafrænar þjónustu.

 

Dæmi um notkun nóðunnar:

  1. Peder er með dönsk skilríki en á réttindi á Íslandi og vill skrá sig inn hjá Tryggingarstofnun.
  2. Peder fer á https://www.tr.is/ og smellir á innskráningarhnapp fyrir „Mínar síður“.
  3. Þá opnast Innskráningarþjónusta Ísland.is og þar smellir Peder á hnappinn „European citizens“.
  4. Þá opnast staðlað viðmót eIDAS-nóðanna og Peder velur Danmörku sem upprunaland.
  5. Þá sendir íslenska nóðan boð til dönsku nóðunnar um að hér sé á ferðinni danskt skilríki.
  6. Danska nóðan tekur við upplýsingunum um skilríkið og metur réttleika þess.
  7. Peder veitir samþykki sitt fyrir því að sótt séu um hann gögn, t.d. fullt nafn, kennitala, heimilisfang o.fl.
  8. Danska nóðan sækir upplýsingar um Peder í dönsku þjóðskrána og e.t.v. fleiri skrár.
  9. Danska nóðan skilar þessum upplýsingum til íslensku nóðunnar sem skilar þeim til Innskráningarþjónustu Ísland.is.
  10. Innskráningarþjónustan útbýr auðkenningartóka með upplýsingum um Peder og skilar til Tryggingastofnunar sem hleypir Peder inn á „Mínar síður“ hjá TR.

Skilyrði sem gilda um auðkenningu milli landa:

  1. Rafræn auðkenningarskipan þarf að vera tilkynnt til ESB í samræmi við 9. gr. reglugerðar 910/2014/ESB og birt á þar til gerðum lista.
    1. Með auðkenningarskipan er átt við fyrirkomulag fyrir rafræna auðkenningu, sem rafrænar auðkenningarleiðir eru gefnar út undir, til handa einstaklingum eða lögaðilum, eða einstaklingum sem eru fulltrúar lögaðila.
  2. Fullvissustig verður að vera jafnhátt eða hærra en það sem þjónustuveitandinn krefst. Fullvissustig sem skilgreind eru í reglugerðinni eru þrjú:
    1. Fullvissustigið „lágt“ skal vísa til rafrænnar  auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur nokkra tiltrú á kennslum sem aðili gerir tilkall til eða krefst viðurkenningar á og er afmarkað með tilvísun í tækniforskriftir, staðla og tengda ferla, þ.m.t. tæknilegar stýringar, sem hafa þann tilgang að draga úr áhættunni á misnotkun eða breytingum á kennum.
    2. Fullvissustigið „verulegt“ skal vísa til rafrænnar auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur verulega tiltrú á kennslum sem aðili gerir tilkall til eða krefst viðurkenningar á og er afmarkað með tilvísun í tækniforskriftir, staðla og tengda ferla, þ.m.t. tæknilegar stýringar, sem hafa þann tilgang að draga verulega úr áhættunni á misnotkun eða breytingum á kennum.
    3. Fullvissustigið „hátt“ skal vísa til rafrænnar auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur meiri tiltrú á kennslum sem aðili gerir tilkall til eða krefst viðurkenningar á heldur en rafræn auðkenningarleið með fullvissustigið „verulegt“ og er afmarkað með tilvísun í tækniforskriftir, staðla og tengda ferla, þ.m.t. tæknilegar stýringar, sem hafa þann tilgang að koma í veg fyrir misnotkun eða breytingar á kennum.
  3. Fullvissustigunum „verulegt“ og „hátt“ er skylt að taka við en heimilt er að taka við fullvissustiginu „lágt“.

Staðan í dag – mars 2018

  • Á Íslandi eIDAS nóða uppsett bæði í prófunarumhverfi og í raunumhverfi.
  • Ekki er búið að tilkynna íslensku nóðuna í raunumhverfi.
  • Mjög fá lönd er búin að tilkynna nóðurnar sínar í raunumhverfi.
  • Búið er að samtengja Innskráningarþjónustu Ísland.is við eIDAS netið.
    • Allir þjónustuveitendur sem eru tengdir við Innskráningu Ísland.is munu geta nýtt sér eIDAS netið.
    • Búið að opna fyrir að þjónustuveitendur í prófunarumhverfi.
    • Ekki búið að opna fyrir þjónustuveitendur í raun.

Fjármögnun

Verkefnið hefur verið fjármagnað úr CEF-sjóði Evrópusambandsins (CEF=Connecting Europe Facility).

Áhugaverðir hlekkir