Ny verktøykasse for id-forvaltning

Dårlig organisert id-forvaltning kan true personvernet. Fallgruvene er mange. Ny forskning viser hvordan personvernet kan styrkes gjennom relasjonsorientert id-forvaltning og single sign-on.

Dårlig organisert id-forvaltning kan true personvernet. Foto: stock.xhng

Identitetsforvaltning er ikke noe nytt. I ” gode gamle dager” ble identitetsforvaltning basert på tilhørighet og fysisk gjenkjennelse. Folk kjente eller gjenkjente hverandre. I møte med ukjente beviste vi våre roller, rettigheter eller kvalifikasjoner ved hjelp av fysiske dokumenter. 

Men med innføringen av internettbaserte tjenester er premissene for identitetsforvaltning endret. Fysisk nærvær er erstattet med elektronisk samhandling, og det er ikke lenger vanlig at tjenesteyteren kjenner brukerne av tjenestene, slik långiveren i banken i sin tid gjenkjente bestefar.

Thomas OlsenThomas Olsen har skrevet avhandlingen Personvernøkende identitetsforvaltning. Foto: privat.

Slitsomt og ressurskrevende

Identitetsforvaltning handler om å identifisere, autentisere og autorisere brukere av tjenester på internett. Tradisjonelt har tjenesteytere selv stått for identitetsforvaltningen av egne brukere. Ved hjelp av brukernavn og passord eller andre påloggingsmekanismer identifiserer og autentiserer vi oss overfor nettbank, offentlige myndigheter og andre tjenesteytere. Men den tradisjonelle tilnærmingen har sine svakheter og begrensninger.

Fra et sikkerhetsperspektiv er det uheldig når det store antallet passord gjør det nødvendig med huskelapper eller når det samme passordet benyttes flere steder. For mange tjenesteytere kan det dessuten være ressurskrevende å drifte slike løsninger selv. I tillegg vil mange separate løsninger være til hinder for at vi som brukere kan få tilgang til ressurser og tjenester på tvers av virksomhets- og systemgrenser.

Nye løsninger og single sign-on

Relasjonsorientert identitetsforvaltning er benevnelsen på standarder og løsninger som er utviklet for å løse flere av disse utfordringene. Slike løsninger er gjerne orientert rundt tre aktører: brukeren, tjenesteyteren og identitetsforvalteren. Sistnevnte har ansvar for å håndtere brukerens identitetsopplysninger, og formidler etter brukerens initiativ relevante brukeropplysninger til tjenesteyter.

Eksempler på slike løsninger er Altinn, Minside/ MinID, Feide og den kommende ID-porten. En av fordelene med slike løsninger er at vi kan få tilgang til flere tjenester gjennom èn autentisering (single sign-on) hos id-forvalter. For tjenesteytere innebærer dette at de slipper kostnadene med å drifte egen id-forvaltningsløsning. 

Store utfordringer

Men løsninger for relasjonsorientert id-forvaltning representerer også store utfordringer for personvernet. Dersom ikke tjenesteyter og id-forvalter forholder seg bevisst til personopplysningsretten og etterlever de regler som gjelder, vil det ikke være mulig å realisere tjenestene. Løsningene vil også kunne bidra til å svekke brukernes personvern. Det er ingen tjent med.

Løsningene kan misbrukes

– Det ligger et potensial for overvåkning og kontroll fra id-forvalterens side ettersom denne aktøren forvalter brukerens personopplysninger og holder rede på brukerens relasjoner med ulike tjenesteytere, forteller Thomas Olsen.

– En annen fare er at tjenesteytere uautorisert og uten brukerens viten og kontroll gjøres i stand til å utveksle opplysninger om felles brukere. Videre innebærer nye løsninger for identitetsforvaltning fare for feil og misbruk, noe som kan føre til personvernkrenkelser eller økonomisk tap for den som blir forvekslet eller villedet.

En verktøykasse for aktørene

Thomas Olsen disputerer i disse dager for Ph.d.- graden ved Senter for rettsinformatikk ved Institutt for Privatrett, UiO. I sin avhandling Personvernøkende identitetsforvaltning drøfter han id-forvaltningens grunnleggende utfordringer og begreper.

I tillegg viser Olsen hvordan aktørene kan løse sentrale utfordringer innenfor rammene av relasjonsorientert id-forvaltning. I så måte kan avhandlingen brukes som en verktøykasse for aktører på feltet.

– Avhandlingen synliggjør de mulighetene aktørene har for å fremme personvernet. Drøftelsene av hvilke krav personopplysningsretten stiller til elektronisk samhandling og identitetsforvaltning er også noe de fleste som jobber med personvern vil kunne ha nytte av, slår Olsen fast.

I avhandlingen drøfter Olsen tre problemstillinger som er sentrale for å sikre personvernet i id-forvaltningen. 

Transaksjonsminimalitet kan fremme personvernet

Den første problemstillingen gjelder hvorvidt opplysninger som formidles som ledd i id-forvaltning skal anses som personopplysninger slik at personopplysningsloven kommer til anvendelse.

Avhandlingen viser at standarder for relasjonsorientert id-forvaltning gjør det mulig å legge til rette for løsninger hvor brukeren er mer eller mindre anonym overfor tjenesteyter.

– Dette går ut på at identitetsforvalteren bare formidler de brukeropplysninger som er nødvendige for at tjenesteyteren kan tilby sine tjenester til brukerne, forteller Olsen.

I avhandlingen argumenterer han for at en klargjøring av hva tjenesteyteren trenger å få autentisert (f. eks. brukerens identitet, rolle eller egenskap) kan bidra til å fremme personvernet ved at omfanget av utvekslede opplysninger begrenses til det strengt nødvendige.

Kommer ikke utenom loven

Selv om brukerne kan opptre anonymt overfor tjenesteyter viser han at personopplysningslovens regler likevel bør følges. En begrunnelse for dette er at IP-adresser og elektroniske spor kan gjøre det mulig å identifisere personene.

- Det er bedre å la personopplysningsretten få en vid anvendelse enn utelukkende å stole på at de tekniske, organisatoriske og rettslige tiltak som skal hindre identifisering holder stand. Dersom personvernrisikoen er marginal kan dette imidlertid være et argument for lempligere regler fremfor at regelverket skal komme inn med sin fulle bredde, forteller Olsen. 

Plassering av ansvar

Et annet viktig aspekt er behovet for rolleavklaring mellom tjenesteyter og id-forvaltere, og behovet for avtaler for å plassere ansvar.

– Aktørenes roller har betydning for det rettslige grunnlaget for å behandle personopplysninger, for informasjonsplikten overfor brukerne og for de avtalene som skal være på plass mellom behandlingsansvarlig og databehandler, forteller han.

Avhandlingen viser at vurderingen av hvem som skal anses som behandlingsansvarlig reiser mange og sammensatte rettslige problemstillinger. 

– For å sikre effektiv etterlevelse av loven er det nødvendig å avklare hvem som er ansvarlig for hva. Loven bygger på prinsippet om at det alltid skal være minst én behandlingsansvarlig for personopplysningene som behandles. Klargjøring av roller og ansvar er grunnleggende for regeletterlevelsen og for samhandlingen aktørene i mellom, understreker Olsen.

Brukermedvirkning og kontroll

En tredje viktig problemstilling gjelder personopplysningsrettens krav til at vi som brukere skal kunne medvirke og ha kontroll over egne personopplysninger.

I avhandlingen drøfter Olsen hvordan kravene til samtykke og informasjon kan gjennomføres på måter som best ivaretar reglenes formål om selvbestemmelse.

– Analysene viser at identitetsforvaltningstjenesters tekniske og organisatoriske kompleksitet gjør det utfordrende å oppfylle personopplysningslovens krav til brukermedvirkning og kontroll på hensiktsmessige måter. Til en viss grad er det et motsetningsforhold mellom det å strebe etter sømløse og integrerte tjenester på tvers av system- og virksomhetstjenester, og det at brukeren selv skal ha kontroll på egne personopplysninger. Det blir da viktig å vektlegge transparens og brukervennlighet, slik at brukeren i tilstrekkelig grad har innflytelse og forståelse for hvor personopplysningene flyter og hvordan de utveksles.

Saken er også publisert på Forskning.no

Av Jorunn Kanestrøm Westbye
Publisert 12. mars 2010 13:12 - Sist endret 17. mars 2010 11:27