BankID-krisen kan ikke bli en ny kundekrise

Kan ikke risikere ny krise

Nå står vi overfor en situasjon som kan bli like ille – om ikke verre – og som vil kunne ramme de samme, sårbare gruppene. Som følge av egne feil, risikerer BankID å miste klassifisering på sikkerhetsnivå høyt og dermed bli mer eller mindre ubrukelig for de om lag 4,7 millioner brukerne. Bakgrunnen er, som ved legitimasjonskrisen til DNB, et sikkerhetshull ved opprettelse av kundeforholdet. Nasjonal kommunikasjonsmyndighet (Nkom) krever nå hullet tettet.

På lik linje som Finanstilsynets trusler, har Nkoms trusler ledet til at BankID krever at kunder «re-identifiser» seg. Mange vil kunne gjøre dette i BankID-appen, ved biometri (ansiktsgjenkjenning) eller skanning av digitalt pass. Men som DNB-skandalen tydelig viste, gjelder dette langt fra alle.

Vi kan ikke risikere at tusenvis av nordmenn mister tilgangen til BankID som følge av feil hos bankene og BankID. Å miste tilgang til BankID betyr ikke bare at man er økonomisk umyndiggjort – da er man i praksis utestengt fra å leve et verdig liv. 

Denne krisen må håndteres langt bedre enn den forrige legitimeringskrisen.

Lars Petter Halvorsen Omland
Stipendiat, Institutt for privatrett, UiO

Synderne må selv ta ansvar

Denne gang må synderne selv ta ansvar, ved å faktisk tilrettelegge for at sårbare kunder får mulighet til å legitimere seg på nytt. Det innebærer at personer som ikke klarer å fysisk bevege seg til filialer timevis unna, gis reell mulighet til å legitimere seg. Om nødvendig må bankene og BankID tilby legitimering ved å oppsøke disse kundene der de er – en «mobil re-identifiseringstjeneste».

Det innebærer at personer med andre (gyldige) legitimitetsdokumenter enn pass med chip, gis reell mulighet til å legitimere seg. Bankene og BankID må ha dedikerte medarbeidere til å gjennomføre legitimitetskontroller, og ikke utelukkende basere seg på billige løsninger som maskinlesing av elektroniske pass.

Det innebærer at bankene og BankID faktisk må ta en kostnad for å forsikre at utsatte grupper ikke diskrimineres, men inkluderes. Når bankene og BankID bruker lovord som «samfunnsansvar» og «kritisk infrastruktur» om sine tjenester, forplikter det. Reell inkludering og ikke-diskriminering handler om å tilpasse tjenester etter brukernes spesielle behov, fremfor å oppstille umulige krav om at brukerne skal tilpasse seg tjenesten. 

Statsråden skal ivareta borgernes digitale velferd

Selv om det er bankene og BankID som må sørge for at re-legitimeringen av kunder skjer på en inkluderende og ikke-diskriminerende måte, har også myndighetene et ansvar. Når våre politikere har valgt å la den viktigste digitale infrastrukturen forbli privat, og ikke frembragt en offentlig elektronisk ID, har staten et ansvar for å påse at de private tilbyderne ivaretar borgernes interesser.

Digitaliseringsminister Tung har uttalt at hun tar saken «på største alvor», men har beroliget med at BankID har fått god tid til å «rette resterende avvik». Dette er imidlertid ikke en krise som rammer BankID. Dette er først og fremst en krise som kan ramme oss borgere, som er avhengige av BankID. Staten kan ikke skyve problemstillingen over på markedsaktørene. Digitaliseringsministeren skal ivareta borgernes digitale velferd. Det ansvaret starter med å forsikre at BankID og bankenes feil ikke rettes opp gjennom digital umyndiggjørelse av sårbare nordmenn.

Den klare beskjeden til bankene, BankID og Digitaliseringsministeren er at denne krisen må håndteres langt bedre enn den forrige legitimeringskrisen. BankID-krisen kan ikke bli en krise for «brysomme» BankID-kunder.