Forordningen om elektronisk identifikation og tillidstjenester (eIDAS) opretter et nyt system til sikker elektronisk interaktion over hele EU mellem virksomheder, borgere og offentlige myndigheder.
Formålet er at forbedre tilliden til elektroniske transaktioner, der dækker hele EU, for at øge effektiviteten af offentlige og private onlinetjenester og e-handel. Den finder anvendelse på:
- ordninger for elektronisk identifikation (eID)*, som EU-landene har meddelt Europa-Kommissionen
- udbydere af tillidstjenester, der har hjemsted i EU.
Den fjerner eksisterende hindringer for brugen af eID i EU. Nu vil det for eksempel være lige til for et portugisisk firma at afgive et bud på en kontrakt om offentlige tjenester i Sverige, og EU's støttemidler kan administreres fuldstændigt online.

HOVEDPUNKTER

Elektronisk identifikation

eID udstedt i ét EU-land skal anerkendes i alle de andre. Det gælder kun, hvis eID'et overholder kravene i forordningen, er meddelt Kommissionen og offentliggjort på en liste. Denne gensidige anerkendelse af eID'er er obligatorisk fra den 28. september 2018 og vil fremme sikre elektroniske transaktioner på tværs af EU.
En eID-ordning skal angive ét ud af tre sikringsniveauer (lav, betydelig, høj) for den form for elektronisk identifikation, der udstedes under den pågældende ordning. Gensidig anerkendelse er kun obligatorisk, når den relevante offentlige myndighed benytter niveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste.

Anmeldelse

Når eID-ordninger anmeldes til Kommissionen, skal EU-landene fremlægge oplysninger om forhold såsom:
- sikringsniveauet og udstederen af eID under den pågældende ordning
- den gældende tilsynsordning og erstatningsansvarsordningen
- den myndighed, der forvalter registreringen af de entydige personidentifikationsdata.
I tilfælde af et sikkerhedsbrud på eID-ordningen eller autentifikation, skal det anmeldende EU-land:
- hurtigt suspendere/spærre den fælles autentifikation eller de kompromitterede dele af ordningen, og
- underrette de andre EU-lande og Kommissionen.

Erstatningsansvar

I enhver transaktion mellem EU-landene, hvor forordningens forpligtelser ikke overholdes, kan de følgende parter holdes ansvarlige for enhver skade, der forsætligt eller uagtsomt påføres enhver person eller ethvert organ:
- et anmeldende EU-land
- den part, der udsteder eID'et
- den part, der forvalter autentifikationsproceduren.

Samarbejde og operabilitet mellem EU-landene

Anmeldte nationale eID-ordninger skal være interoperative. Den interoperative ramme skal være teknologineutral og ikke favorisere nogen specifikke nationale tekniske løsninger til eID.

Tillidstjenester

Forordningen definerer tillidstjenester som betalte tjenesteydelser, der omfatter:
- generering, kontrol og validering af elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektronisk registrerede leveringstjenester og certifikater relateret til disse tjenester, eller
- generering, kontrol og validering af certifikater af webstedsautentifikation, eller
- bevaring af elektroniske signaturer, segl eller certifikater relateret til disse tjenester.
Udbydere af tillidstjenester med hjemsted i EU anses for »kvalificerede«, hvis de opfylder de relevante krav i forordningen. De er juridisk berettigede til at udbyde kvalificerede tillidstjenester (f.eks. kvalificerede elektroniske signaturer, segl eller certifikater) i alle EU-landene. Tillidstjenester, der udbydes af tjenesteudbydere fra ikke-EU-lande, kan betragtes som retligt ligestillede med de kvalificerede, men først når der er indgået en aftale mellem EU og det pågældende ikke-EU-land eller en international organisation.

Tilsyn

EU-lande skal vælge ét eller flere organer til at føre tilsyn under denne forordning. Disse organer skal samarbejde med databeskyttelsesmyndighederne, hvor det er relevant.
Alle udbydere af tillidstjenester er underlagt tilsyn og risikostyring samt indberetningspligt i forbindelse med sikkerhedsbrud.
Ikkekvalificerede tillidstjenesteudbydere er underlagt et »let« tilsyn, dvs. at tilsynsmyndigheden kun reagerer, hvis udbyderen mistænkes for uagtsomhed.
Kvalificerede tillidstjenesteudbydere med hjemsted i EU er underlagt strengt tilsyn. Det omfatter forudgående tilladelse fra tilsynsmyndigheder og revision mindst én gang hvert andet år af en organisation, der vurderer, om de har overholdt kravene i forordningen.
Et nyt EU-tillidsmærke identificerer de kvalificerede tillidstjenester, der udbydes af de relevante udbydere.

En række retsakter, der er vedtaget af Europa-Kommissionen i løbet af 2015, fastsætter:

proceduremæssige ordninger for samarbejde mellem EU-landene om elektronisk identifikation
specifikationer for udformningen af EU-tillidsmærket for kvalificerede tillidstjenester
tekniske og operationelle krav til interoperabilitetsrammen
tekniske minimumsspecifikationer og procedurer for fastsættelse af sikringsniveauer for eID-midler
tekniske specifikationer og formater for positivlister
specifikationer vedrørende formater for avancerede elektroniske signaturer og avancerede segl, som skal anerkendes af offentlige myndigheder
vilkår, formater og procedurer for anmeldelser om elektronisk identifikation.

HVORNÅR GÆLDER FORORDNINGEN FRA?

Fra den 17. september 2014.

VIGTIGT BEGREB

(*) Elektronisk identifikation (eID): håndgribelige og ikkehåndgribelige identifikationsmetoder, der indeholder personlige identifikationsoplysninger, der bruges til autentifikation af en onlinetjeneste.

DOKUMENT

Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257, 28.8.2014, s. 73-114)

Efterfølgende ændringer af forordning (EU) nr. 910/2014 er indarbejdet i grundteksten. Denne konsoliderede version har ingen retsvirkning.

seneste ajourføring 17.03.2016

Titel og reference