Apr 7, 2017

Personidentifikator

---------DRAFT----------(deadline 22.juni2017)


Finansdepartementet har fremmet forslag om ny personidentikator som skal erstatte nåværende fødselsnummer.
Dagens identifikasjonsnummer (fødselsnummer, 11 siffer) har begrensninger for fremtidig befolkningsvekst.
Den nye personindikatoren tenkes gjennomført over 10 år og skal ha kapasitet for 100+ år fremover.


Regjeringen skriver i høringsnotatet
Et av de absolutte kravene til en ny personidentifikator er at den skal oppfylle regelverk for personvern. Dagens personidentifikator er informasjonsbærende gjennom å inneholde informasjon om kjønn og fødselsdato.

Dette er også et godt utgangspunkt for tilrettelegging av fremtidig digitalisering, hvor både sikkerhet og personvern kan få fokus fra startfasen.
Stortinget har tidligere besluttet at digitale løsninger skal ha innebygget personvern. (se også Stortingsmelding 11 (2012–2013) Personvern – utsikter og utfordringar ).
Innebygget personvern må legges inn fra starten, dvs. at det er i design- og utviklingsfasen en bygger inn funksjonalitet som ivaretar personvernet.



En ny personindifikator bør være informasjonsløs.

Folkeregisteret inneholder mye data om individet, inklusive personindikator, kjønn og fødselsdato, tilgjengelig for de myndighetsfunksjoner som har legitimt behov for disse opplysningene.

At fødselsdato (og kjønn) "er allment tilgjengelige", er ikke begrunnelse for å inkludere denne informasjon i en unik personidentifikator.


Kjønnsløs indikator foreslås i høringsnotatet.
En kan anta at dette også blir lovpålagt i det tidsperspektivet ny personidentifikator har, og flere land har allerede innført et tredje kjønn. (ref.?)

Det foreslås at "kjønnsindikator i eksisterende personnummer  blir slått av" men at eksisterende personidentikator beholdes, mens nye tildelinger vil skje etter ny modell (side 17 i høringsforslaget).
Dette forklares ved at sifferet for kjønnsindikatoren ikke lengre skal anses å ha betydning ("brukere av personidentifikatoren ikke kan legge til grunn kjønnet"), men forblir uendret.
Da er ikke personidentikatoren kjønnsnøytralt for de med allerede eksisterende fødselsnummer.

Kjønn kan også endres underveis i livet, og oppdateres i Folkeregisteret. Kjønnindikator hentes fra Folkeregisteret når nødvendig, iflg. høringsforslaget.


Fødselsdato foreslås bevart, med begrunnelse at dette ikke er brudd på gjeldende regelverk for personvern.
Skattedirektoratet har lagt til grunn at fødselsnummeret er allment tilgjengelige, men peker på at det er utbredt oppfatning om at fødselsnummeret er hemmelig og dette alene kan gi adgang til andre opplysninger. Direktoratet understreket at fødselsnummeret kun skal anvendes som en identifikator og ikke for autentisering. Det innebærer at ved rett bruk skal det ikke kunne gis ut beskyttede opplysninger om personer ved kun å oppgi fødselsnummeret

Fødselsdato oppdateres i Folkeregisteret, og bør derfor hentes derfra, om legalt nødvendig.

Det fremgår at fødselsdato kan være vanskelig å fastslå for en del innvandrere/asylsøkere og/eller at fødselsdato blir fastsatt eller endret når (ny) dokumentasjon foreligger.
Om fødselsdato søkes fra Folkeregisteret vil en også slippe å måtte endre personidentifikator når fødsesdato endres.

Som eksempel for behov for fødselsdato nevnes at bank har behov for å vite om person er over 18år ved eventuell søknad/innvilging av lån.
Som ved kjønnsindikator kan det her søkes i Folkeregisteret etter "er personidentifikator over 18 år (Ja/Nei)".
En bør også legge inn slik funksjonalitet i en elektronisk ID (eID), hvor en kun gir minimalt med nødvendig opplysning.

Fødselsdato er overflødig informasjon i en unik personidentifikator


Digitalisering, elektronisk ID (eID) og sektorvis indifikator

Det er viktig å velge en personidentifikator som ivaretar behovet for personvern i den gitte konteksten denne indikatoren vil/kan bli brukt.
Da må en også vurdere hvordan dette skal håndteres ved eID. Ved ny personindifikator har en unik mulighet til å få en teknologisk moderne, personvennlig og skalerbar elektronisk e-identitet.

Regjeringens forslag vurderer innebygget personvern som en unødig kostnad og potensialet i den digitaliserte fremtiden vurderes ikke i høringsforslaget.
Kostnader samt at (deler av) finansnæringen har gammel (legacy) maskinpark fremmes som vektige argumenter mot personvern-vennlig, informasjonsløs personindifikator.


Et annet argument Regjeringen har mot innebygget personvern, er at det da blir vanskeligere å krysskople persondata fra forskjellige sektorer.
Men det er nettopp grunnet digitalisering at innebygget personvern (privacy by design) er vitalt. Både for å forhindre ukontrollert formålsutglidning ved krysskobling og for å ivareta individets personvern.



Dette skriver Skattedirektoratet:
Sektorvise identifikatorer innebærer at personer ikke har en felles personidentifikator, men flere ulike, avhengig av tjenesteområde. En person har f.eks. en identifikator for helsesektoren, en for politiet, en for kommunale tjenester osv. I Europa praktiseres denne løsningen av Østerrike.
....... 
Dette er en alternativ måte å organisere personinformasjon på, som noen vurderer bedre med hensyn til personvern. Sektorvis identifikator gjør det vanskeligere å sammenstille informasjon fra ulike virksomheter/sektorer og følgelig sette sammen flere opplysninger om enkeltpersoner. 
Denne modellen avvises med bakgrunn i innspill fra viktige primærinteressenter (referansegruppen).Det er store fordeler knyttet til den norske og skandinaviske modellen med å ha en primærnøkkel for kommunikasjon og samhandling mellom virksomheter på tvers av sektorer. Et felles fødselsnummer bidrar til effektivisering av offentlig forvaltning og øker mulighetene for å utvikle digitale tjenester bl.a. annet basert på offentlige grunndata.


En modell, hvor data om person (eller data akkumulert om person) krysskoples via en unik identitet, vil ikke gi nødvendig tillit til det offentlige's digitale løsninger.
(Digitale tjenester basert på offentlige grunndata har heller ikke behov for personidentifiserbare data)



Sikkerhet og personvern


Når en planlegger for de neste 100+ år, så må en ta nye, og mere fremtidsrettede hensyn enn de som forelå da en innførte fødselsnummer for papir-basert administrasjon. En må forebygge for både kjente og ukjente muligheter.

Eksempelvis, så vet vi at denne modellen ikke er digitalt bærekraftig, hverken for sikkerhet eller for personvern: (klikk for større bilde):




Elektronisk ID må kunne håndtere både anonymitet, psedonymer og/eller reell identitet for de tjenester en benytter sin eID mot, og ikke gi ut mere informasjon en strengt nødvendig for den gitte tjenesten.
En eID kan heller ikke knyttes mot en spesiell 3je-part (eksempelvis mobilleverandøren) om elektronisk ID skal kunne nyttes av alle norske borgere (i inn- og utland).


ENISA (European Union Agency for Network and Information Security) har utgitt noen retningslinjer for best praksis ved utarbeidelse av unike ID'er for personer da elektroniske ID-kort ble tatt i bruk i Europa (eID). Østerike er et av landene som har vært bevisst hvilken risiko eID medfører, mens "den norske modellen" henger etter de beste løsningene.

Et lite utvalg fra ENISA om risikoelementer en må skalere for:
This implies a set of risks to the privacy of the citizen, via the unwanted disclosure of personal information and its subsequent misuse.It is fundamentally important to address these risks, first and foremost because they represent a threat to the fundamental human rights of the citizen as enshrined in Article 8 of the European Convention on Human Rights [23], particularly in cases where card possession is compulsory or strongly encouraged by enabling compelling or even essential services. Another consideration for governments is that threats to privacy strongly demotivate citizens from using a scheme. This makes adequate privacy protection a sine qua non in countries where the ID card is optional, but even where its possession is compulsory, privacy risks will affect the card’s degree of usage and decrease its popularity, making enforcement of any obligations more difficult.For this reason, all existing and planned schemes already specify at least some privacy features to protect card holders against unwanted disclosure and abuse of personal information.

Risk
The main assets at risk in eID card scenarios are usually the personal information and anonymity of the citizen. Loss of these assets can put at risk secondary assets such as physical property, financial assets, reputation (e.g. in the case where the card is used for identity theft) and the right to be left alone (via spam etc...). 
Side-channel attach : information leaked through so-called side-channels to gain access to private data. This additional information could be the timing of signals, power consumption, or radiation. location tracking, behaviour tracking 
Privacy-respecting use of Unique Identifiers (UIDs): unique identifiers are strings which allow applications to distinguish between individual citizens (citizen-specific UID) or their identity cards (card-specific UID). A card-specific UID changes when a new card is issued to the citizen. Identifiers have to be used very carefully in order to avoid privacy risks. A well-designed UID scheme might offers more privacy than for example using a social security number or the combination of name and date of birth as UID. In general, the more a UID is linkable to useage in other transactions (using the card, or otherwise), the less privacy it offers. It is important to note that individual static data on the card, like a public key or even an encrypted data block has all the attributes of a UID if it is unique.  
Domain-specific UID (or sector-specific UID or sector-specific personal identifiers): The use of different identifiers in different application domains helps prevent merging databases. Domain-specific identifiers can be derived from (secret) identifiers held by a trusted central issuer. 
Selective Disclosure: A commonly accepted privacy principle is that data disclosed should be the minimum required for the stated purpose. For example, this is an axiom of EU data protection law ([23], Article 7). In order to respect this principle, the card should not disclose more information than has been asked for by the requesting application. For example if the requesting application only requires the name of the card holder, the card should not give access to the user’s address.  
Verify-only mode: a simple case of selective disclosure is verify-only mode where instead of disclosing the actual value of a field, a yes-no answer is given for whether a query is satisfied – e.g. whether age is greater than a certain value or a biometric matches (with a given probability) a certain template.  ....



Oppsummert: 
En ny personidentifikator bør være informasjonsløse (og ikke innholdsbærende).

En bør se på sammenhenger og interaksjonen mellom modernisering av Folkeregisteret, ny personidentifikator og fremtidig eID.

Tilgang til informasjon om person må begrenses til kun de/den myndighet som har reell behov for den gitte informasjon - og/eller kun til den eller de personen selv velger å dele slik informasjon med (ref. EU's lovgivning)



Referanser:
1) Finansdep - Høringsnotat -Forslag til ny personidentifikator  23/3/2017

2) Rapport fra Skattedirektoratet - Konseptvalgutredning - Ny personidentifikator i Folkeregisteret

3)Dovre Group / Transportøkonomisk institutt - Ny personidentifikator i Folkeregisteret- Rapport til Finansdepartementet

4) EU prosjekt FIDIS (hvor også Østerike deltok i prosjektarbeidet )

5) Comparing privacy in eID schemes,
U-Prove, Idemix, eID for Germany and France
Østerike's Borgerkort 

6) forslag om endring av Folkeregisteret september 2016: Regjeringen foreslår ny folkeregisterlov

7) ENISA Position Papers - Privacy Features of European eID Card Specifications 2009

8) Privacy-enhanced PKI tokens:
U-Prove (bought by MicroSoft)
Idemix (IBM) Identity Mixer

9) Fødselsdata er sensitive og bør være private ,   fra EFF 2009