Sikker dokumentoverføring uten BankID — er det mulig?
Sikker dokumentoverføring uten BankID — er det mulig?
«Du må ha BankID for å motta dokumenter digitalt.»
Denne antakelsen er så utbredt at den nærmest fungerer som en usynlig regel i norsk forvaltning og næringsliv. Men den er feil.
eIDAS-forordningen — som gjelder som norsk lov — stiller ikke et generelt krav om at mottaker må identifisere seg med BankID for å motta dokumenter digitalt. Og GDPR krever ikke en bestemt krypteringsalgoritme. Det som kreves er «egnede tiltak» basert på en risikovurdering.
Det åpner døren for alternative løsninger som når de som aldri vil få BankID.
Hva eIDAS faktisk sier
Lov om elektroniske tillitstjenester § 1 gjennomfører eIDAS-forordningen (EU nr. 910/2014) i norsk rett. Forordningen regulerer elektronisk identifikasjon og tillitstjenester, og den opererer med tre sikkerhetsnivåer: lavt, betydelig og høyt.
Hvilket nivå som kreves, avhenger av formålet, rettsvirkningene og risikoen ved den aktuelle tjenesten.
For tjenester med høy risiko — som opprettelse av bankforhold, visse forvaltningsvedtak med store økonomiske konsekvenser, eller juridisk bindende signaturer — kreves normalt nivå «høyt», som BankID typisk oppfyller. Selvdeklarasjonsforskriften § 19 presiserer kravene: blant annet gyldig pass eller nasjonalt ID-kort og entydig kobling til norsk identitetsnummer.
Men for mottak av dokumenter — der mottaker ikke signerer noe, ikke inngår noen avtale, og ikke foretar noen rettslig disposisjon — er situasjonen en annen. Her krever eIDAS-rammeverket bare det sikkerhetsnivået som er proporsjonalt med risikoen.
Selvdeklarasjonsforskriften § 20 viser at nivå «betydelig» kan oppnås for eksempel ved kontroll av kontaktadresse i folkeregisteret. Og for ren dokumentmottak kan lavere nivå enn BankID være tilstrekkelig.
Selv BankID er ikke ufeilbarlig
I Høyesteretts dom HR-2020-2021-A ble det slått fast at en bank ikke nødvendigvis kan kreve erstatning fra en person utsatt for BankID-misbruk, fordi banken hadde akseptert innlogging uten ytterligere kontrolltiltak.
Dommen illustrerer at BankID ikke er en universell garanti. Det avgjørende er risikovurderingen — ikke teknologivalget i seg selv.
Hva GDPR krever av kryptering
GDPR artikkel 32 krever «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen». Bestemmelsen nevner kryptering eksplisitt som et relevant tiltak — men angir ingen bestemt algoritme.
Verken GDPR, personopplysningsloven, forvaltningsloven eller eForvaltningsforskriften krever AES-256 eller noen annen spesifikk krypteringsstandard for alminnelig behandling. Tilnærmingen er gjennomgående risikobasert.
Det betyr at en løsning som bruker sterk kryptering — for eksempel AES-256 med klient-side nøkkelderivering — oppfyller kravene med god margin. Den overpresterer hva loven krever.
eForvaltningsforskriften § 5 krever at risiko for uberettiget innsyn skal forebygges «tilfredsstillende». En zero-knowledge-arkitektur, der tjenesteleverandøren aldri kan se innholdet, oppfyller dette kravet strukturelt.
Alternativet til BankID: Kode-basert tilgang
Hvis BankID ikke er juridisk påkrevd for dokumentmottak, og kryptering kan oppnås uten at mottaker har en digital identitet — hva er alternativet?
En modell som fungerer er kode-basert tilgang: avsender får en unik kode som overleveres til mottaker verbalt eller personlig. Mottaker navigerer selv til tjenestens nettside og taster inn koden. Dokumentet dekrypteres i nettleseren.
Denne modellen har flere egenskaper som harmonerer med regelverket:
Ingen lenker sendes — som eliminerer phishing-risiko. Risikovurderingsplikten etter Digitalsikkerhetsloven §§ 7 og 10 tilsier at tiltak mot phishing bør vurderes. En modell som arkitektonisk forhindrer lenker, oppfyller dette.
Verbal overlevering av kode harmonerer med forvaltningsloven § 11 d om rett til muntlig kontakt og vergemålsloven § 33 om vergens plikt til å høre vergehaveren.
Klient-side kryptering betyr at tjenesteleverandøren aldri har tilgang til innholdet — som er privacy by design etter GDPR artikkel 25.
Ingen mottakerkonto kreves — mottaker trenger bare tilgang til en nettleser. Dette er universell tilgjengelighet i praksis.
Når BankID ER nødvendig
Det er viktig å presisere: BankID er nødvendig i mange sammenhenger. For signering av dokumenter, inngåelse av avtaler, tilgang til helseopplysninger via Helsenorge, eller autentisering mot offentlige portaler med høy risiko — der kreves normalt nivå «høyt».
Men for det spesifikke bruksområdet «motta et dokument fra en avsender du kjenner» er kravet lavere. Det er forskjell på å identifisere seg overfor en tjeneste og å motta et dokument fra en kjent avsender.
Konsekvensen for de 600 000
Erkjennelsen av at BankID ikke er påkrevd for dokumentmottak har en viktig konsekvens: det finnes ikke noe juridisk hinder for å bygge en sikker digital kanal som fungerer for de 600 000–850 000 nordmennene som ikke har BankID.
Hinderet er ikke juridisk. Det er praktisk — at en slik løsning til nå ikke har vært tilgjengelig.
Rettskilder brukt i denne artikkelen
- Lov om elektroniske tillitstjenester § 1 (eIDAS-gjennomføring)
- Selvdeklarasjonsforskriften §§ 19, 20
- GDPR art. 25 (privacy by design), art. 32 (sikkerhet)
- eForvaltningsforskriften §§ 4, 5
- Digitalsikkerhetsloven §§ 7, 10
- Forvaltningsloven §§ 11 d, 15 a
- Vergemålsloven § 33
- HR-2020-2021-A (Høyesterett, BankID-misbruk)
Relaterte artikler
- 600 000 nordmenn kan ikke motta digitale dokumenter
- Det juridiske rammeverket for sikker digital dokumentoverføring
- Zero-knowledge-arkitektur: Når tjenesteleverandøren ikke kan se innholdet ditt
- eIDAS i Norge: Når kreves BankID — og når holder lavere sikkerhetsnivå?
Håkon Haugen er praktiserende verge og grunnlegger av envei.no. Han jobber daglig med å sikre at dokumenter når frem til personer uten digitale verktøy.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →