Europejski Portfel Cyfrowej Tożsamości ma umożliwić elektroniczną identyfikację użytkownikom, a dodatkowo pozwalać na wykorzystywanie danych w dostępny i bezpieczny sposób. Jak dokładnie funkcjonować będzie nowe rozwiązanie i jakie działania powinny zostać podjęte, aby korzystanie z niego było bezpieczne?
Co to jest Europejski Portfel Cyfrowej Tożsamości?
Propozycja nowelizacji rozporządzenia eIDAS wprowadza Europejski Portfel Cyfrowej Tożsamości. Zawiera również zharmonizowane warunki ustanowienia ram dla Europejskich Portfeli Cyfrowej Tożsamości wydawanych przez państwa członkowskie Unii Europejskiej. Rozwiązanie to ma zapewnić użytkownikom możliwość elektronicznej identyfikacji, a także uwierzytelniania online i offline. Z portfela korzystać będzie można w kontaktach z podmiotami publicznymi, prywatnymi, jak również dużymi platformami internetowymi. Portfele mogą również służyć potrzebom instytucjonalnym administracji publicznych, organizacji międzynarodowych oraz instytucji, organów, urzędów i agencji Unii. Dodatkowo funkcja ta powinna być udostępniona ponad granicami krajowymi.
Jakie atrybuty tożsamości będą przechowywane w portfelu?
Europejskie Portfele Cyfrowej Tożsamości umożliwią przechowywanie i potwierdzanie danych osobowych, a także następujących cech i atrybutów tożsamości:
- Adres;
- Wiek;
- Płeć;
- Stan cywilny;
- Skład rodziny;
- Narodowość;
- Kwalifikacje, tytuły i licencje edukacyjne;
- Kwalifikacje zawodowe, tytuły i licencje;
- Pozwolenia i licencje publiczne;
- Dane finansowe i firmowe.
Każdy podmiot, który gromadzi, tworzy i wydaje poświadczone atrybuty, takie jak dyplomy, licencje, akty urodzenia, powinien mieć możliwość zostania dostawcą usługi zaufania elektronicznego poświadczania atrybutów. Poza tym atrybuty dostarczane przez kwalifikowanych dostawców usług zaufania w ramach kwalifikowanego poświadczania atrybutów muszą być weryfikowane z autentycznymi źródłami:
- bezpośrednio przez kwalifikowanego dostawcę usługi zaufania albo przez
- wyznaczonych pośredników, uznanych w tym celu na poziomie krajowym zgodnie z prawem krajowym lub unijnym bezpiecznej wymiany poświadczonych atrybutów między tożsamością lub poświadczeniem dostawców usług atrybutów a stronami ufającymi.
Strony ufające powinny stosować elektroniczne poświadczenia atrybutów jako ekwiwalent poświadczeń w formie papierowej.
Jak będzie działał Europejski Portfel Cyfrowej Tożsamości?
Państwa członkowskie powinny zapewnić równy dostęp do identyfikacji elektronicznej wszystkim swoim obywatelom i mieszkańcom. Obywatele Unii i inni mieszkańcy, zgodnie z wymaganiami prawa krajowego, za pomocą Europejskich Portfeli Cyfrowej Tożsamości będą mogli bezpiecznie udostępniać dane dotyczące ich tożsamości w przyjazny i wygodny dla siebie sposób. Odbywać się to będzie pod wyłączną kontrolą użytkownika.
Identyfikacja cyfrowa
Prywatne usługi online funkcjonujące w obszarach transportu, energii, usług bankowych i finansowych, zabezpieczenia społecznego, zdrowia, wody pitnej, usług pocztowych, infrastruktury cyfrowej, edukacji lub telekomunikacji będą musiały zaakceptować korzystanie z Europejskich Portfeli Cyfrowej Tożsamości w celu świadczenia przez siebie usług, zawsze w przypadku gdy silne uwierzytelnianie użytkownika na potrzeby identyfikacji online jest wymagane przez prawo krajowe lub unijne lub zobowiązanie umowne.
Europejski Portfel Cyfrowej Tożsamości a platformy internetowe
Duże platformy internetowe wymagające od użytkowników uwierzytelnienia w celu uzyskania dostępu do usług internetowych będą miały możliwość wykorzystania przez użytkowników swoich cyfrowych tożsamości. Wykorzystanie to będzie zależne od osobistej decyzji użytkownika. Użytkownicy nie powinni być zobowiązani do korzystania z portfela w celu uzyskania dostępu do usług prywatnych, ale jeśli chcą to zrobić, duże platformy internetowe muszą w tym celu zaakceptować Europejski Portfel Cyfrowej Tożsamości, przy jednoczesnym poszanowaniu zasady minimalizacji danych.
Dlaczego możliwość korzystania z portfela w trybie offline jest ważna?
Korzystanie w trybie offline, czyli w bezpośrednim i fizycznym kontakcie użytkownika z instytucją weryfikującą jego tożsamość. Takie korzystanie offline jest ważne w wielu sektorach, w tym w sektorze opieki zdrowotnej, gdzie usługi są często świadczone poprzez bezpośrednią interakcję, a e-recepty powinny móc polegać na kodach QR lub podobnych technologiach w celu weryfikacji autentyczności.
Bezpieczeństwo Europejskiego Portfela Cyfrowej Tożsamości
Nowe rozwiązanie musi zapewniać najwyższy poziom bezpieczeństwa danych osobowych wykorzystywanych do uwierzytelniania niezależnie od tego, czy dane te są przechowywane lokalnie, czy w rozwiązaniach opartych na chmurze, z uwzględnieniem różnych poziomów ryzyka.
Identyfikacja elektroniczna dla Europejczyków powinna korzystać z potencjału oferowanego przez rozwiązania zabezpieczone przed manipulacją, takie jak kryptograficzne elementy zabezpieczające znajdujące się w urządzeniach mobilnych i telefonach komórkowych. Korzystanie z tych technologii ma na celu spełnienie wymogów bezpieczeństwa wynikających z znowelizowanego rozporządzenia eIDAS. Przykładowo wykorzystanie danych biometrycznych do uwierzytelniania jest jedną z metod identyfikacji zapewniających wysoki poziom zaufania, w szczególności w połączeniu z innymi elementami uwierzytelniania.
Rola państw członkowskich w zachowaniu bezpieczeństwa Europejskich Portfeli Cyfrowej Tożsamości
Zadaniem krajów członkowskich UE jest rozwijanie technologii wykorzystywanych do osiągnięcia celów identyfikacji, dostępności i interoperacyjności w kierunku najwyższego poziomu bezpieczeństwa, wygody użytkownika i szerokiej użyteczności. Dodatkowo państwa członkowskie, wydając Europejskie Portfele Tożsamości Cyfrowej, muszą opierać się na wspólnych standardach europejskich, aby zapewnić bezproblemową interoperacyjność i wysoki poziom bezpieczeństwa. Zgodność Europejskich Portfeli Cyfrowej Tożsamości z tymi wymogami powinna być certyfikowana przez akredytowane organy sektora publicznego lub prywatnego wyznaczone przez państwa członkowskie.
Cyfrowa tożsamość a ochrona obowiązki dostawców usług elektronicznych
Informowanie państw członkowskich o zamiarze polegania na Europejskich Portfelach Cyfrowej Tożsamości przez dostawców usług elektronicznych pomoże w zachowaniu bezpieczeństwa. Umożliwi to państwom członkowskim ochronę użytkowników przed oszustwami i zapobieganie bezprawnemu wykorzystywaniu danych dotyczących tożsamości i elektronicznych poświadczeń atrybutów. Zapewni to także możliwość weryfikacji przetwarzania danych wrażliwych, takich jak dane dotyczące zdrowia, przez strony ufające zgodnie z prawem Unii lub prawem krajowym.
Europejski Portfel Cyfrowej Tożsamości a inne usługi zaufania
Europejskie Portfele Tożsamości Cyfrowej to rozwiązanie wprowadzające wielopoziomowe zmiany dla obywateli UE. Dodatkowo portfele będą umożliwiać użytkownikom tworzenie i używanie kwalifikowanych podpisów i pieczęci elektronicznych.
Data publikacji: 7.06.2021