BankID er diskriminerende
BankID dekker i dag 96 prosent av befolkningen mellom 20 og 70 år, men mange faller utenfor. Uten tilgang til tjenester som Helsenorge og VIPPS, blir hverdagen vanskelig for mange.
Mathias klarer seg bra, han har jobb og bor alene, men så har han Downs syndrom. I en video som ble vist på Finans Norge sin forbrukerkonferanse, forteller han hvor urettferdig han synes det er at han ikke får BankID. Han får for eksempel ikke Vipps, og kan ikke overføre penger slik kameratene gjør når de går på kino.
Det at han ikke får BankID, har også ført til en rekke problemer for Fabio fra Portugal: Alt fra at han ikke kan kjøpe billett på ruter-appen i Oslo, til å ikke kunne logge seg inn på helsenorge.no. Banken vil ikke gi han det, fordi han ikke har norsk fødselsnummer.
– Det er et uttalt mål fra norske myndigheter at alle som deltar i det norske samfunnet skal ha mulighet til å skaffe seg elektronisk ID (eID), slik som f.eks. BankID, på tilstrekkelig høyt sikkerhetsnivå. Dette målet er per i dag ikke nådd, sier advokatfullmektig i Thommesen, Erle Katrine Sivertsen.
TILBYDERE BRYTER REGLENE
Det var mens Sivertsen jobbet som vitenskapelig assistent på forskningsprosjektet Societal security and digital identities (SODI) ved UiO, at hun så på ulike problemstillinger med dagens ordning for elektronisk ID i sin masteroppgave.
BankID er den klart største tilbyderen og ble først tatt i bruk i 2004 for å dekke banktjenester. I dag kreves BankID til alt fra å logge seg inn på helsenorge.no, til å registrere poeng på Trumf.
Hva er regelen i dag? Tilbyderne er forpliktet til å inngå avtale om elektronisk ID med enhver person som ønsker dette, så framt det ikke foreligger saklig grunn til å ikke gjøre det. Sivertsen avdekker derimot flere svakheter med dagens ordning; der staten har overlatt myndigheten til å gi ut elektronisk ID til private aktører.
Dagens system leder til usaklig forskjellbehandling
Erle Katrine Sivertsen.
De brukergruppene som opplever problemer med å få utstedt eID på øverste nivå er blant annet utenlandske statsborgere – både flyktninger og europeiske statsborgere – personer som bistås av verge, barn i fosterhjem og eldre som har problemer med selvstendig bruk av eID.
– Hva vil du trekke fram som det mest interessante av funnene?
– Det er paradokset med at de fleste har rett til å få elektronisk ID etter lovverket, men likevel så stiller tilbyderne ulike vilkår. Noen stiller krav til språk, andre krevernorsk fødselsnummer.
– Jeg synes det er problematisk at staten ikke stiller krav til tilbydere av elektronisk ID, enda de har faktisk monopol på å utstede eID på høyeste sikkerhetsnivå. Dette burde vært løst på en annen måte, og dagens system leder til usaklig forskjellbehandling, fortsetter Sivertsen.
SVENSKER NEKTES BANKID
Sivertsen påpeker at det er behov for et samlet regelverk som stiller klare krav til tilbyderne og som enkelt kan håndheves av staten.
I masteroppgaven omtaler Sivertsen en sak fra Diskrimineringsnemnda som gjaldt en svensk statsborger som hadde blitt fratatt sin BankID fordi hun ikke hadde norsk pass eller fødselsnummer.
Den svenske statsborgeren vant fram mot banken. Diskrimineringsnemnda konkluderte med at krav om norsk pass eller personnummer utgjorde forskjellsbehandling på grunnlag av etnisitet, og at avslaget ikke var saklig.
Etter reglene i eIDAS-forordningen er D-nummer likestilt med fødselsnummer. Et D-nummer er et nummer som kan tildeles utenlandske personer som ikke har norsk fødselsnummer, men har et behov for identifisering overfor norske myndigheter. Saken fra Diskrimineringsnemnda taler for at bankene er forpliktet til å tilby BankID til personer med D-nummer, så framt de oppfyller de andre vilkårene.
Denne avgjørelsen har likevel ikke endret bankenes praksis. Alle de bankene Finansfokus har vært i kontakt med krever norsk fødselsnummer. DNB er en av de bankene som på sin hjemmeside skriver at de krever norsk fødselsnummer.
– Det er forståelig at bankene ønsker å følge en streng linje på grunn av hvitvaskingsreglementet. Men også hvitvaskingsreglementet aksepterer D-nummer på lik linje med fødselsnummer, sier Sivertsen.
DIGITAL EKSKLUDERING
Blant gruppene som har problemer med å få Bank ID, er dem med kriminelt rulleblad. Er det noe i lovverket som tilsier at de ikke kan få det?
– Å nekte en person BankID, fordi vedkommende har et kriminelt rulleblad, er ikke saklig grunn. Siden eID på høyt sikkerhetsnivå er nødvendig for alle som skal delta i det norske samfunnet, vil det å nekte BankID til dem med kriminell fortid virke mot rehabiliteringshensynet, sier Sivertsen.
Digital ekskludering er et resultat av dagens system. Personer som faller utenfor, har ikke muligheter til å ta del i samfunnet slik de har rett til.
Det fører til diskriminering på to nivåer, konkluderer Sivertsen i masteroppgaven. For det første er det diskriminerende i seg selv at staten har tatt i bruk et system som ikke alle innbyggerne har mulighet til å få tilgang på. For det andre har ikke staten gjort nok for å sikre den enkeltes rett til å ikke bli diskriminert ved utstedelse av elektronisk IDfra private tilbydere.
– Hva bør gjøres?
– Enkeltpersoner kan gå til sak og kreve elektronisk ID. De færreste har ressurser til å gjøre det. Den beste løsningen på kort sikt er at staten stiller tydeligere krav tilbyderne. I liknende tilfeller hvor staten overlater samfunnskritisk infrastruktur til private gjøres dette ofte ved konsesjon. I slike tilfeller gis konsesjon med vilkår om kontraheringsplikt, dvs. plikt til å inngå avtale om den aktuelle tjenesten.
Problemet kan løses ved at det opprettes en statlig eID på øverste sikkerhetsnivå. Da vil en oppnå at vilkårene blir like, og unngå at personer nektes eID på usaklig grunnlag, argumenterer hun.
OFFENTLIG UTSTEDT ID
Statssekretær i Kommunal- og distriktsdepartementet, Gunn Karin Gjul, svarer ikke direkte på kritikken fra blant annet NFU. Hun forteller derimot at hun er klar over problemet, og viser til at departementet nå jobber med en ny nasjonal strategi for eID i offentlig sektor.
– I forslaget til ny strategi er det foreslått å vurdere realisering av en offentlig utstedt eID på høyt sikkerhetsnivå. Sammen med en rekke andre tiltak vil det kunne bedre tilgangen til offentlige digitale tjenester for grupper som opplever digitalt utenforskap, sier Gjul. Forslag har vært ute på høring og er planlagt vedtatt i løpet av 2022.
– Bankene har ulik praksis i forhold til hvem de gir BankID. Får bankene god nok informasjon om regelverket?
– Bankene har god oversikt over regelverket, men de er også pliktige å følge eget sektorregelverk. I noen tilfeller ser vi at det kan være en streng eller varierende praksis for utstedelse av BankID. Vi har imidlertid laget gode veiledere om regelverket som gjelder utstedelse og bruk av eID, sier Gjul.
BANKUAVHENGIG BANKID
Det er BankID BankAxept AS som drifter og utvikler BankID-tjenesten. Daglig leder Øyvind Westby Brekke sier de støtter det offentlige i at de lager en ny strategi.
– Mange grupper holdes utenfor og ikke får BankID. Har du et forslag til løsning?
– På Finans Norge sin Forbrukerkonferansen lanserte vi ideen om en BankID som kan deles ut av andre enn bankene, en «bankuavhengig» BankID». Vi må selvsagt forankre dette med eierne våre, Bits og Finans Norge, men vi har tro på at vi sammen med det offentlige kan bidra til å forhindre digitalt utenforskap ved å bygge videre på BankID fremfor å bygge noe helt nytt i offentlig regi, sier Westby Brekke.
Han argumenterer for at det er både raskere og rimeligere å bygge videre på eksisterende markedsløsninger, enn å lage et nytt system. Enten det dreier seg om å gi BankID til 12-åringer eller til utenlandske statsborgere.
Det at bankene er underlagt ulike lovverk, som hvitvaskingsreglementet, gjør det hele mer komplekst. Han forstår at mange banker velger å være på den sikre siden når de er usikre på om de bør utstede Bank-ID.
– Her må vi se på hvordan det offentlige kan bidra til at guider, ID-fastsettelse og registre kan trygge bankene i sine vurderinger.
Fakta BankID
– I dag har hele 4,3 millioner nordmenn BankID. ID. Løsningen ble lansert i 2004.
– BankID brukes i dag av alle landets banker, det offentlige og av stadig flere virksomheter i ulike bransjer.
– De norske bankene har utviklet BankID i samarbeid, og det er landets banker som gjør kundekontrollen og gir ut BankID til personkunder.
– BANKID er leverandører til eID til bruk av offentlige tjenester via ID-porten som er en felles innloggingsløsning for en rekke offentlige nettjenester.
– I 2018 ble BankID, Vipps og BankAxept slått sammen til ett felles selskap. BankID BankAxept ble utfisjonert fra Vipps 19. juli 2022, og er etablert som et eget selskap.