eIDAS i Norge: Når kreves BankID — og når holder lavere sikkerhetsnivå?
eIDAS i Norge: Når kreves BankID — og når holder lavere sikkerhetsnivå?
BankID er blitt synonymt med digital identitet i Norge. Over 4,5 millioner nordmenn bruker det daglig. Men antakelsen om at BankID kreves for alt digitalt — inkludert å motta et dokument — er feil.
eIDAS-forordningen, som gjelder som norsk lov, opererer med tre sikkerhetsnivåer. Hvilket nivå som kreves, avhenger av hva du skal gjøre — ikke av at du skal gjøre noe digitalt.
Tre nivåer: Lavt, betydelig og høyt
Lov om elektroniske tillitstjenester § 1 gjennomfører eIDAS-forordningen (EU nr. 910/2014) i norsk rett. Forordningen regulerer elektronisk identifikasjon og tillitstjenester, og den opererer med tre sikkerhetsnivåer som angir grad av tillit til identiteten.
Selvdeklarasjonsforskriften § 2 definerer nivåene, mens §§ 19 og 20 presiserer kravene for hvert nivå.
Nivå «høyt»
Selvdeklarasjonsforskriften § 19: Krever gyldig pass eller nasjonalt ID-kort og entydig kobling til norsk identitetsnummer. BankID oppfyller typisk dette nivået.
Brukes for: opprettelse av bankforhold, signering av juridisk bindende dokumenter, tilgang til helsejournal via Helsenorge, innlogging i offentlige portaler med høy risiko (skattemelding, NAV-søknader).
Nivå «betydelig»
Selvdeklarasjonsforskriften § 20: Kan oppnås ved kontroll av kontaktadresse i folkeregisteret eller annet register med tilstrekkelig sikkerhet.
Brukes for: tjenester med moderat risiko der identiteten bør bekreftes, men der konsekvensene av feilidentifikasjon er begrenset.
Nivå «lavt»
Grunnleggende identifikasjon med begrenset tillit. Tilstrekkelig for tjenester der risikoen er lav.
Hva med å motta et dokument?
Å motta et dokument er fundamentalt forskjellig fra å signere et dokument, inngå en avtale, eller logge inn i en portal med sensitive data.
Ved mottak foretar mottaker ingen rettslig disposisjon. Det er avsenderen som har identifisert mottaker (via vergeforhold, saksbehandlerforhold, eller annen kjent relasjon) og som har valgt å sende dokumentet. Mottakerens oppgave er bare å hente det.
eIDAS stiller ikke et generelt krav om at mottaker må identifisere seg med eID for å motta dokumenter digitalt. Kravet avhenger av risiko og formål.
For ad-hoc dokumentoverføring — der avsender kjenner mottaker og dokumentet ikke krever signatur — kan et lavere sikkerhetsnivå enn BankID være tilstrekkelig.
Høyesterett om BankID-risiko
I HR-2020-2021-A behandlet Høyesterett en sak der et ektepar hadde fått utbetalt et forbrukslån ved misbruk av en annen manns BankID. Høyesterett frifant mannen for bankens erstatningskrav.
Dommen illustrerer to viktige poeng: BankID er ikke en ufeilbarlig garanti for identitet. Og risikovurderingen — ikke teknologivalget i seg selv — er det avgjørende.
En bank som ensidig stoler på BankID uten ytterligere kontrolltiltak, bærer selv risikoen. Tilsvarende gjelder for andre som velger autentiseringsmetode: det er risikovurderingen som avgjør om nivået er tilstrekkelig.
Konsekvenser for digitalt utenforskap
Erkjennelsen av at BankID ikke er juridisk påkrevd for dokumentmottak har en viktig konsekvens for de anslagsvis 600 000–850 000 nordmennene som mangler BankID.
De er ikke utestengt av loven. De er utestengt av infrastrukturen.
Digipost krever BankID. Altinn krever BankID. Helsenorge krever BankID. Men lovverket krever det ikke for alle formål — og særlig ikke for det å motta et dokument fra en kjent avsender.
En kode-basert modell, der avsender overleverer en unik kode verbalt og mottaker henter dokumentet i nettleseren, kan forsvares som et sikkerhetsnivå tilpasset risikoen. Koden bekrefter at mottaker har fått informasjonen fra avsenderen. Det er ikke nivå «høyt» — men det trenger ikke å være det.
Når BankID ER nødvendig
Det er viktig å ikke overgeneralisere. BankID kreves for:
Signering av dokumenter med rettsvirkning. Inngåelse av avtaler (bank, forsikring, offentlige tjenester). Tilgang til sensitive portaler (Helsenorge, skattemelding, NAV-søknader). Identifikasjon overfor offentlige myndigheter i høyrisikosammenhenger.
For disse bruksområdene er nivå «høyt» nødvendig, og BankID eller tilsvarende er riktig.
Men for det spesifikke bruksområdet «motta et dokument fra en kjent avsender» — der mottaker ikke signerer, ikke inngår avtale, og ikke foretar noen disposisjon — er kravet lavere.
Rettskilder brukt i denne artikkelen
- Lov om elektroniske tillitstjenester § 1
- Selvdeklarasjonsforskriften §§ 2, 19, 20
- Forskrift om tillitstjenester § 6
- HR-2020-2021-A (Høyesterett, BankID-misbruk)
- Karnov faglitteratur «Bruk og misbruk av elektronisk identifikasjon» kap. 5
Relaterte artikler
- Sikker dokumentoverføring uten BankID
- 600 000 nordmenn kan ikke motta digitale dokumenter
- Det juridiske rammeverket for sikker digital dokumentoverføring
- GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →