This document is an excerpt from the EUR-Lex website
Document 52021DC0290
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS)
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om evalueringen af forordning (EU) nr. 910/2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (eIDAS)
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om evalueringen af forordning (EU) nr. 910/2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (eIDAS)
COM/2021/290 final
EUROPA-KOMMISSIONEN
Bruxelles, den 3.6.2021
COM(2021) 290 final
RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
om evalueringen af forordning (EU) nr. 910/2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (eIDAS)
{SEC(2021) 229 final} - {SWD(2021) 130 final}
1.Indledning
Denne rapport beskriver resultaterne af evalueringen af forordning (EU) nr. 910/2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked ("eIDAS-forordningen") 1 . I henhold til forordningens artikel 49 skal Kommissionen revidere anvendelsen af denne forordning og navnlig evaluere, om det er hensigtsmæssigt at ændre forordningens anvendelsesområde eller dens specifikke bestemmelser under hensyntagen til erfaringerne med dens anvendelse samt den teknologiske, markedsmæssige og retlige udvikling 2 , og rapporten bør om nødvendigt ledsages af lovgivningsforslag.
Det ledsagende arbejdsdokument indeholder mere detaljerede oplysninger og analyser til støtte for disse resultater.
1.1.eIDAS-rammen
Med vedtagelsen af eIDAS-forordningen i 2014 gik EU nye veje ved at indføre den første grænseoverskridende ramme for pålidelige digitale identifikations- og tillidstjenester, som i dag anerkendes og respekteres i hele verden. eIDAS-forordningen havde til formål at give alle EU-borgere adgang til offentlige tjenester i hele EU ved hjælp af elektroniske identifikationsmidler (eID) udstedt i deres hjemland. Den skulle styrke tilliden til elektroniske transaktioner på det indre marked ved at skabe et fælles grundlag for sikker og problemfri elektronisk interaktion mellem borgere, virksomheder og offentlige myndigheder og derved øge effektiviteten af offentlige og private onlinetjenester, elektronisk forretningsførelse og elektronisk handel i Unionen. Med forordningen blev direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer, som i det væsentlige kun omfattede elektroniske signaturer, ophævet.
Som det fremgår af forordningens retsgrundlag, artikel 114 i TEUF, havde den til formål at fjerne eksisterende hindringer for det indre markeds funktion ved at fremme indbyrdes tilnærmelse af medlemsstaternes lovgivning, navnlig gensidig anerkendelse og accept af eID, autentifikation, signaturer og relaterede tillidstjenester på tværs af grænserne, når disse er nødvendige for at få adgang til og gennemføre elektroniske procedurer eller transaktioner.
Før forordningen trådte i kraft, fandtes der ingen omfattende grænseoverskridende og tværsektoriel EU-ramme for sikre, pålidelige og brugervenlige elektroniske transaktioner, der omfattede elektronisk identifikation, autentifikation og tillidstjenester. I Kommissionens forslag (COM(2012) 238 final) af 4. juni 2012 ledsaget af konsekvensanalysen (SWD (2012) 135 final) blev følgende fire generelle mål identificeret:
•at sikre udvikling af det digitale indre marked
•at fremme udviklingen af vigtige grænseoverskridende offentlige tjenester
•at fremme og styrke konkurrencen på det indre marked
•at skabe større brugervenlighed (borgere og virksomheder).
Selv om forordningen opfylder mange af sine mål og er blevet et grundlæggende element til at fremme det indre marked i en række sektorer (f.eks. inden for finansielle tjenesteydelser og muliggørelse af adgang til og genanvendelse af data i administrative procedurer), er den forbundet med en række begrænsninger: manglende forpligtelse til at anmelde nationale eID-ordninger, begrænsede kendetegn (elementer af personlige oplysninger), som på pålidelig vis kan videregives til tredjeparter, retsaktens fokus på den offentlige sektor og manglen på klare incitamenter for private parter til at anvende nationale eID-midler. Derudover er det europæiske økosystem for elektronisk identifikation fordelt på forskellige nationale reguleringsmiljøer, forskellige niveauer for digital forvaltning, forskellige kulturer og forskellige tillidsniveauer til offentlige institutioner.
1.2.Kontekst
Tilvejebringelsen af digital identitet undergår grundlæggende ændringer. Enheder såsom banker, udbydere af elektroniske kommunikationstjenester eller forsyningsselskaber, hvoraf nogle i henhold til lovgivningen er forpligtet til at indsamle identitetskendetegn, udnytter deres procedurer til at fungere som verificerede identitetsudbydere. Internetformidlere, herunder store sociale medieplatforme og internetbrowsere, 3 fungerer som de facto-gatekeepere for digitale identiteter og tilbyder BYOI-løsninger ("bring your own identity"), som gør det muligt for deres brugere at autentificere sig på tredjeparters websteder og tjenester ved hjælp af deres brugerprofiler. Dette er forbundet med et kontroltab over videregivne personoplysninger, samtidig med at disse eID-midler ikke er knyttet til en verificeret fysisk identitet, hvilket gør det svært at forhindre svig og cybersikkerhedstrusler. Et stort flertal af EU-borgerne ønsker at få adgang til en sikker digital identitet, som de kan bruge til at få adgang til onlinetjenester. 4 Endelig skal der, selv om der er mange forskellige holdninger til fremtiden for digital identitet, tages behørigt hensyn til de nationale regeringers centrale rolle i udviklingen af et vidtrækkende digitalt ID-økosystem.
Brugerne af i dag forventer problemfri onlineforløb, mobilapplikationer og fælles indlogningsløsninger, der kan bruges til onlinetjenester i den offentlige og private sektor, og som dækker alle brugssituationer for identifikation, lige fra pseudonym log-on til en onlineplatform til sikker identifikation inden for e-sundhed eller netbank. Sikker onlineidentifikation og udveksling af kendetegnsoplysninger bliver stadig vigtigere, efterhånden som antallet af identitetsfølsomme og individualiserede tjenester stiger. Muligheden for digital identifikation kommer til at spille en vigtig rolle for den sociale inklusion og tilvejebringelsen af en digital identitet som et strategisk aktiv.
I sin tale om Unionens tilstand den 16. september 2020 bekendtgjorde formanden for Europa-Kommissionen Kommissionens ambition om at give alle EU-borgere adgang til en sikker og pålidelig digital identitet: "Vi vil gerne indføre regler, der sætter mennesket i centrum. (...) Det handler også om, at vi skal have kontrol over vores personoplysninger, hvilket alt for sjældent er tilfældet i dag. Hver gang vi af en app eller på et websted bliver bedt om at oprette en ny digital identitet eller om at logge på via en stor platform, aner vi ikke, hvad der egentlig sker med vores oplysninger. Derfor vil Kommissionen snart fremsætte et forslag om en sikker europæisk e-identitet. En, vi har tillid til, og som enhver borger kan benytte overalt i Europa til at gøre alt fra at betale sin skat til at leje en cykel. En teknologi, hvor vi selv kontrollerer, hvilke oplysninger der bruges, og hvordan de bruges."
Det Europæiske Råd støttede Kommissionens ambition og opfordrede i Rådets konklusioner af 1.-2. oktober 2020 Kommissionen til at fremsætte et forslag til et initiativ vedrørende en europæisk ramme for digital identitet inden midten af 2021:
I Det Europæiske Råds konklusioner opfordres der til "udvikling af en EU-dækkende ramme for sikker offentlig elektronisk identifikation (eID), herunder interoperable digitale signaturer, for at give folk kontrol over deres onlineidentitet og -data samt for at muliggøre adgang til offentlige, private og grænseoverskridende digitale tjenester." Rådet opfordrer Kommissionen til at fremsætte et forslag til et initiativ vedrørende en europæisk ramme for digital identitet inden midten af 2021.
Med elektronisk identifikation får borgere og virksomheder mulighed for at bevise, hvem de er, når de tilgår tjenester online. Tillidstjenester såsom elektroniske signaturer gør onlinetransaktioner mere sikre, brugervenlige og effektive. eIDAS-forordningen er den eneste grænseoverskridende ramme for pålidelige eID-midler for fysiske og juridiske personer og tillidstjenester. eIDAS muliggør grænseoverskridende anerkendelse af offentlige eID-midler til adgang til offentlige tjenester på betingelse af, at det specifikke eID-middel er blevet anmeldt under eIDAS. eIDAS skaber endvidere et EU-marked for tillidstjenester, der er anerkendt på tværs af grænserne med samme juridiske status som deres traditionelle tilsvarende papirbaserede processer.
2.De vigtigste resultater af evalueringen
Evalueringens vigtigste resultater kan ud fra evalueringskriterierne sammenfattes under følgende overskrifter.
2.1.Effektivitet
eIDAS-netværket, som har til formål at give indehavere af en anmeldt eID-ordning adgang til offentlige onlinetjenester på tværs af grænserne, er blevet oprettet på baggrund af bestemmelserne om digital identitet. Der er kun opnået interoperabilitet mellem et begrænset antal eID-ordninger på EU-plan 5 .
eIDAS-forordningen har med succes skabt retssikkerhed med hensyn til ansvar, bevisbyrde, retsvirkning og internationale aspekter af tillidstjenester, men der er stadig visse problemer. Adgangen til og anvendelsen af tillidstjenester i EU er steget siden indførelsen af eIDAS-forordningen. Der er dog forskelle medlemsstaterne imellem og på tværs af de forskellige tillidstjenester.
Trods visse fremskridt har forordningen ikke nået sit potentiale med hensyn til effektivitet. Der er kun blevet anmeldt et mindre antal eID-midler, hvilket begrænser EU-borgernes dækning med hensyn til en anmeldt eID-ordning (59 % af befolkningen). Accepten af anmeldte eID-midler er begrænset, da ikke alle eIDAS-knudepunkter er i drift, et begrænset antal offentlige tjenester tilbyder eIDAS-anmeldelse eller er forbundet med infrastrukturen, og tekniske fejl forhindrer brugerne i effektiv autentifikation.
Med hensyn til tillidstjenester har forordningens målsætning om at forblive teknologineutral ført til en forskelligartet fortolkning af kravene medlemsstaterne imellem. Dette skyldes blandt andet også den manglende vedtagelse af yderligere gennemførelsesretsakter. Det kan ikke konkluderes, at der er opnået lige vilkår på EU-plan. eIDAS-forordningen har imidlertid skabt en stærk ramme, der kan suppleres med de nødvendige standarder og krav for at mindske den nuværende markedsfragmentering og forskelle i tilsynsorganernes og overensstemmelsesvurderingsorganernes fortolkning. Den har endvidere styrket samarbejdet mellem tilsynsorganerne.
2.2.Virkning
Referencevurderingen viser, at de kvantificerbare omkostninger hidtil har oversteget fordelene. Med hensyn til eID skyldes dette den lave udbredelse, samtidig med at fordelene ikke har gjort sig gældende.
De vigtigste interessentgrupper, for hvilke eID-delen af eIDAS-forordningen har medført omkostninger og fordele, omfatter nationale myndigheder, eIDAS-knudepunktoperatører, eID-udbydere og tjenesteudbydere. Hvad tillidstjenesterne angår er de vigtigste interessentgrupper, som stod over for de største omkostninger og fordele, akkrediterings-, overensstemmelsesvurderings- og tilsynsorganer samt kvalificerede og ikkekvalificerede tillidstjenesteydere.
For de enkelte interessenter udgør en betydelig del forventede fordele (ikke betraget som fremtidige fordele) og kan derfor næppe kvantificeres. De tilbagevendende omkostninger til forvaltning af tillidstjenester er begrænsede og er hovedsagelig knyttet til at sikre overholdelse. For de enkelte interessenter er en betydelig del af fordelene på nuværende tidspunkt hypotetiske (ikke betraget som fremtidige fordele) og kan næppe kvantificeres. Tillidstjenesteyderne registrerer fordele i form af indtægter som følge af tilvejebringelsen af tillidstjenester i andre EU-lande og udvidelse af markedsgrundlaget.
2.3.Relevans
Økosystemet for eID har ændret sig radikalt siden indførelsen af eIDAS-forordningen med et stigende aftryk fra private identitetsudbydere. I betragtning af stigningen i digitale transaktioner bør alle EU-borgere have adgang til en sikker og interoperabel digital identitet, hvilket ikke er tilfældet i dag. Målene for eIDAS-retsgrundlaget er fortsat relevante for håndteringen af de oprindeligt identificerede problemer, navnlig behovet for at mindske markedsfragmenteringen ved at sikre grænseoverskridende og tværsektoriel interoperabilitet mellem tillidstjenester ved at vedtage fælles standarder. Det nuværende anvendelsesområde og fokus for eIDAS-forordningen på eID-ordninger, der anmeldes af EU's medlemsstater, og på at give adgang til offentlige onlinetjenester synes at være for begrænset.
Nogle af de vigtigste hindringer for udbredelsen blandt brugerne og den private sektors tjenesteleverandører har forhindret den lovgivningsmæssige ramme i at nå sit fulde potentiale. Trods indførelsen af henvisninger til eIDAS-løsninger i en stor del af den sektorspecifikke EU-lovgivning har eIDAS-forordningen endnu ikke opfyldt behovene i specifikke sektorer (f.eks. uddannelses-, bank-, rejse-, luftfartssektoren). En af den nuværende rammes begrænsende faktorer med hensyn til disse sektorspecifikke behov er manglen på specifikke kendetegn for de enkelte områder.
Et af de største problemer er eIDAS' kapacitet til at holde trit med den seneste teknologiske udvikling inden for tillidstjenester. Udvidelsen af listen over tillidstjenester, navnlig gennem indførelsen af en tillidstjeneste for eArchiving, en tillidstjeneste, der understøtter bærbare identitetsoplysninger, og en tillidstjeneste for elektroniske regnskaber, berører en række brugssituationer og giver borgere og virksomheder mulighed for at bevise digitalt, hvem de er, eller bevise deres kendetegn/karakteristika uden brug af fysiske dokumenter.
2.4.Sammenhæng
Evalueringen viser, at forordningens eID-del understøttes af et generelt sammenhængende system for gensidig anerkendelse af eID-midler baseret på anmeldelse og peer review. Rammen for tillidstjenester sikrer et sammenhængende tilsynssystem for tillidstjenester. Der er dog konstateret visse problemer, som påvirker forordningens interne sammenhæng.
For eID-midler har det anmeldelses- og peer review-system, der er fastsat i eIDAS-rammen, til formål at skabe en fælles forståelse af det sikkerhedsniveau, som en eID-ordning giver. Men vurderingen af den praktiske gennemførelse viser, at dette ikke altid er tilfældet. Selv om det tilskynder til fleksibilitet og teknologisk neutralitet, mangler der stadig en fælles forståelse af, hvad der udgør et omfattende og højt sikkerhedsniveau. Fokus på offentlige tjenester står i kontrast til brugerens mulighed for at begrænse de overførte data til det minimum, der er nødvendigt for autentifikationen, til en specifik tjeneste, da det altid er minimumsdatasættet, der tilvejebringes for at muliggøre en identifikation af en person. Gennemførelsen af det nuværende eIDAS-system gør det ikke muligt for brugeren at fremme håndhævelsen af databeskyttelsesforordningens principper om dataminimering og privatlivets fred som standard ved at kontrollere, hvilke data der skal deles og med hvem.
Reglerne for vurdering af tillidstjenesteydere, hvad angår forordningens funktionelle krav for at opnå status som kvalificeret, er behæftet med visse svagheder, da der mangler tilstrækkelige oplysninger om overensstemmelsesvurderingsorganernes rolle med hensyn til deres forpligtelser, ansvar og kompetenceniveau. Nogle bestemmelser overlader det til medlemsstaterne at anerkende visse identifikationsmetoder (såsom biometrisk verifikation) på nationalt plan, hvilket vanskeliggør udviklingen af lige lovgivningsmæssige vilkår og skaber usikkerhed.
2.5.EU-merværdi
eIDAS-forordningen skabte incitamenter for medlemsstaterne til at anvende nationale eID-løsninger. Merværdien af eID-rammen har dog vist sig at være stærkt begrænset på grund af dens ringe dækning, udbredelse og anvendelse. For tillidstjenester har forordningen skabt en fælles lovgivningsmæssig ramme for deres anvendelse, hvilket har mindsket markedsfragmenteringen og øget udbredelsen. Ved hjælp af tillidstjenester er de offentlige forvaltninger i stand til at modernisere og digitalisere tjenester og udstede digital dokumentation og dermed mindske den administrative byrde.
Med hensyn til eID-delen er de oprindeligt identificerede behov for vedtagelse af forordningen stadig relevante, og en ophævelse af forordningen vil føre til fragmentering og negative konsekvenser for andre lovgivningsområder, der er afhængige af eIDAS. Visse tilpasninger af den lovgivningsmæssige ramme kan øge EU's merværdi (f.eks. ved at gøre det lettere for den private sektor at anvende pålidelige offentlige eID-midler og fastlægge en ramme for udveksling af specifikke kendetegn og oplysninger fra den offentlige og private sektor). Hvad angår tillidstjenester er der stadig visse hindringer, der skyldes den nationale fortolkning og/eller modstridende national lovgivning, som begrænser udbredelsen af tillidstjenester.
3.Revision af eIDAS-rammen
eIDAS-forordningen er grundlæggende for at kunne fremme det indre marked i en række sektorer (for at kunne tilvejebringe nogle af de krævede identitetsdata for at lette overholdelsen af reglerne om bekæmpelse af hvidvaskning af penge 6 i banksektoren tages der i betalingstjenestedirektivet (PSD2) 7 udgangspunkt i eIDAS-tillidstjenester, herunder eSeals og Qualified Website Authentication Certificates (QWAC'er), for at identificere ægtheden af websteder hos tredjepartsbetalingstjenesteudbydere. eIDAS-baserede eID-midler er et væsentligt krav for udveksling af administrative certifikater på tværs af grænserne og af væsentlig betydning for den vellykkede gennemførelse af og funktion for engangsprincippet fra 2023 8 ). Rammen for tillidstjenester er internationalt anerkendt og danner grundlag for et udkast til bestemmelse 9 , der forventes at blive en FN-modellov om tillidstjenester inden for elektronisk handel i 2021, samt for de igangværende forhandlinger om elektronisk handel inden for WTO 10 .
Der er dog sket store ændringer siden vedtagelsen af eIDAS i 2014. Rammen er baseret på nationale eID-systemer, der følger forskellige standarder, og fokuserer på en relativt lille del af borgernes og virksomhedernes elektroniske identifikationsbehov: sikker grænseoverskridende adgang til offentlige tjenester. De berørte tjenesteydelser vedrører primært de 3 % af EU's befolkning 11 , der bor i en anden medlemsstat end den, de er født i.
Siden da er digitaliseringen af alle samfundsfunktioner steget dramatisk. Ikke mindst har covid-19-pandemien haft en meget stor indvirkning på, hvor hurtigt digitaliseringen har kunnet realiseres. Som følge heraf tilvejebringes både offentlige og private tjenester i stigende grad ad digital vej. Borgerne og virksomhederne har en forventning om at opnå høj sikkerhed og brugervenlighed i forbindelse med enhver onlineaktivitet, herunder indsendelse af selvangivelser, indskrivning på et udenlandsk universitet, fjernåbning af en bankkonto eller anmodning om et lån, leje af en bil, etablering af en virksomhed i en anden medlemsstat, autentifikation af internetbetalinger, onlineafgivelse af bud i forbindelse med et udbud osv.
Som følge heraf er efterspørgslen efter midler til onlineidentifikation og -autentifikation samt til digital udveksling af oplysninger om identitet, kendetegn eller kvalifikationer på sikker vis og med et højt databeskyttelsesniveau steget radikalt 12 . Dette har udløst et paradigmeskift, der bevæger sig i retning af avancerede og brugervenlige løsninger, der kan integrere brugerens forskellige verificerbare data og certifikater. I dag kan denne efterspørgsel i betragtning af de nuværende begrænsninger ikke opfyldes ved hjælp af eID-midler og tillidstjenester som reguleret af eIDAS. De identifikations- eller autentifikationsmidler, som er udviklet af den private sektor uden for eIDAS-rammen, kan kun delvist imødegå denne udfordring. Selv om de muliggør brugervenlige tredjepartsautentifikationstjenester (f.eks. ved at bruge en Facebook- eller Google-konto til at logge ind på forskellige tjenester), bruges de i høj grad til at få adgang til uregulerede private onlinetjenester, som ikke stiller krav om et højt sikkerhedsniveau. De kan ikke tilbyde samme grad af retssikkerhed, databeskyttelse og privatlivets fred, hovedsagelig fordi de er selvhævdede og ikke kan udgøre en forbindelse til pålidelige og sikre offentlige eID-midler.
I februar 2020 forpligtede Kommissionen sig i sin strategi for Europas digitale fremtid i støbeskeen 13 til at revidere eIDAS-forordningen med henblik på at forbedre dens effektivitet, udbygge dens anvendelsesområde til også at omfatte den private sektor og fremme pålidelige digitale identiteter for alle EU-borgere og -virksomheder. Udbruddet af covid-19-pandemien tydeliggjorde, hvor meget det haster med en sådan revision. Afbrydelserne af offentlige og private offlinetjenester og det pludselige behov for adgang til og brug af alle typer offentlige og private tjenester online afslørede eIDAS' begrænsninger med hensyn til at levere de forventede fordele til borgere, virksomheder og regeringer seks år efter dens vedtagelse. En revideret og styrket eIDAS-forordning vil kunne opfylde nye markeds- og samfundsbehov ved at imødekomme kravene om løsninger knyttet til pålidelige offentlige eID-midler, men også om kendetegn og oplysninger fra den offentlige og private sektor, som alle forvaltes fuldt ud af brugeren og anerkendes i hele EU for at få adgang til både offentlige og private tjenester. Dette vil støtte en lang række eksisterende eller foreslåede lovgivningsmæssige rammer, der styrker EU's indre marked.
4.Konklusioner
Generelt har eIDAS-forordningen bidraget til videreudviklingen af det indre marked. Den har skabt grundlaget for udviklingen af et marked for identifikations- og tillidstjenester i EU og har understøttet det stadig stigende behov for sikre digitale transaktioner. I et fremtidsorienteret perspektiv, som har udviklet sig med hensyn til mål og brugerforventninger, er det imidlertid nødvendigt at forbedre eIDAS-forordningen med hensyn til effektivitet, sammenhæng og relevans for at opfylde nye politiske mål, brugernes forventninger og markedsbehovet, herunder under hensyntagen til den seneste udvikling inden for digitalisering.
På markedet ses et nyt miljø, hvor fokus er flyttet fra tilvejebringelse og anvendelse eller ufleksible digitale identiteter til tilvejebringelse og afhængighed af specifikke kendetegn i forbindelse med disse identiteter. Der er en øget efterspørgsel efter elektroniske identitetsløsninger med en sådan kapacitet, hvilket giver effektivitetsgevinster og en høj grad af tillid i hele EU til tjenester, både i den private og den offentlige sektor, med udgangspunkt i behovet for at identificere og autentificere brugere med en høj grad af sikkerhed.
Den nuværende eIDAS-forordning kan ikke imødekomme disse nye markedsbehov, idet den er begrænset til den offentlige sektor, tilslutningen til systemet er kompleks for private onlineudbydere, dens tilgængelighed i alle medlemsstater er utilstrækkelig, og den mangler fleksibilitet til at støtte en række situationer.