Disputas: Thomas Olsen

Cand.jur Thomas Olsen ved Institutt for privatrett vil forsvare sin avhandling for graden ph.d.: Personvernøkende identitetsforvaltning.

 

Bedømmelseskomité

  • Professor Jon Bing,Universitetet i Oslo (leder)
  • Professor Peter Blume, Københavns Universitet
  • Professor Cecilia Magnusson Sjöberg, Stockholms Universitet

Leder av disputas

Professor Kåre Lilleholt

Veileder

Sammendrag

Avhandlingens overordnede problemstilling er hvilke krav personopplysningsretten stiller til elektronisk identitetsforvaltning. I all hovedsak omhandler identitetsforvaltning det å identifisere, autentisere og autorisere brukere av tjenester på Internett. Avhandlingen drøfter identitetsforvaltningens grunnleggende utfordringer og begreper, og viser hvordan enkelte av utfordringene kan løses innenfor rammene av såkalt relasjonsorientert identitetsforvaltning. Drøftelsene tar utgangspunkt i en dominerende teknisk standard (SAML), og implementasjonen av denne i sentrale norske e-forvaltningsløsninger som Altinn, Minside/MinID og Feide. Relasjonsorientert identitetsforvaltning innebærer at en identitetsforvalter etter brukerens initiativ og ønske formidler relevante brukeropplysninger til en eller flere tjenesteytere. Fordelene som ofte assosieres med relasjonsorientert identitetsforvaltning er blant annet at brukeren kan få tilgang til flere tjenester gjennom én autentisering hos identitetsforvalter (single sign-on).

Løsninger for relasjonsorientert identitetsforvaltning er grunnleggende for å realisere politiske ambisjoner om økt elektronisk samhandling samt sømløse og integrerte tjenester på tvers av forvaltningens organisering og ansvarsområder. En viktig forutsetning for å kunne nå slike målsetninger er imidlertid at nye løsninger ikke går på bekostning av den enkeltes personvern, og at personopplysningsrettens krav overholdes.

Avhandlingen reiser tre rettslige hovedproblemstillinger angående (i) personopplysningslovens personopplysningsbegrep, (ii) lovens krav til roller og oppgaver og (iii) lovens krav til brukermedvirkning og kontroll. Den første problemstillingen gjelder hvorvidt brukeropplysningene tjenesteyter mottar fra identitetsforvalter skal anses som personopplysninger slik at personopplysningsloven kommer til anvendelse. Til tross for at standarder for relasjonsorientert identitetsforvaltning gjør det mulig å legge til rette for at brukeren kan opptre mer eller mindre anonymt overfor tjenesteyteren, argumenteres det for et vidt personopplysningsbegrep kombinert med mulighet for mer lemplig anvendelse av regelverket i tilfeller hvor personvernrisikoen er liten. I forhold til avhandlingens andre hovedproblemstilling drøftes hvilke vurderingsmomenter som er relevante for å vurdere hvorvidt aktørene er behandlingsansvarlige eller databehandlere for de behandlinger identitetsforvaltningen involverer. Den siste problemstillingen gjelder hvilke krav personopplysningsretten stiller til brukermedvirkning og kontroll, herunder hvordan kravene til samtykke og informasjon kan gjennomføres på måter som best ivaretar reglenes formål om selvbestemmelse vedrørende egne personopplysninger.

Avhandlingen bidrar også til den rettspolitiske debatten om personvernøkende teknologi. Det argumenteres i den forbindelse for at en klargjøring av hva tjenesteyteren trenger å få autentisert (f. eks. brukerens identitet, rolle eller egenskap) kan bidra til å fremme brukernes personvern ved at omfanget av utvekslede opplysninger begrenses til det strengt nødvendige.

Summary of “Privacy enhancing identity management".

The overarching question the thesis raises is what requirements data protection law imposes on electronic identity management. The core elements of identity management include the identification, authentication and authorisation of users of services on the Internet. The thesis analyses the main challenges and terminology related to identity management, and shows how federated identity management can solve some of these challenges. The point of departure for the analysis is a dominating technical standard (SAML) and its implementation in key Norwegian e-Government services such as Altinn, Mypage/MinID and Feide. Federated identity management is characterised by an identity provider’s role, which consists of disclosing relevant user information to a service provider in accordance with the users’ instructions. One of the advantages often associated with federated identity management is the users’ possibility of accessing several service providers’ services after a single authentication by the identity provider (single sign-on).

Federated identity management services are significant for realizing political ambitions such as increased electronic communication, including seamless and integrated services across the public administration’s organisational boundaries. Vital conditions for achieving such goals, however, are that new services must respect individuals’ privacy, and service providers must comply with data protection law.

The thesis raises three main legal issues: (i) the meaning of personal data in the Norwegian data protection act, (ii) the act’s requirements regarding roles and responsibilities, and (iii) the act’s requirements regarding user participation and control. The first issue concerns the extent to which user information received by a service provider should be considered personal data, rendering the data protection act applicable. The thesis argues for a broad interpretation of the concept of personal data, even in cases when federated identity management facilitates a more or less anonymous use of a service provider’s services. The law’s consequently wide scope, however, might be combined with a less strict application of certain rules when the risk to the users’ privacy is only marginal. In relation to the second issue, the thesis analyses what criteria are relevant for deciding whether the providers of identity management services are controllers or processors. The last issue deals with the data protection law’s requirements regarding user participation and control. It focuses on how compliance with the consent and information provision’s requirements can ensure individuals’ autonomy regarding personal data.

The thesis also contributes to the policy debate on privacy enhancing technologies (PETs). A clarification of what a service provider needs to authenticate (e.g., a user’s identity or role, or a relevant attribute) might, by itself, contribute to enhancing users’ privacy by limiting the amount of exchanged personal data to what is strictly necessary.


 

Publisert 5. mars 2010 14:12 - Sist endret 29. aug. 2014 15:39