I Norge er tilgang til en rekke offentlige og private tjenester helt avhengig av BankID, en digital legitimasjon som i praksis fungerer som en nøkkel til samfunnet. Men få tenker over at denne nøkkelen ikke utstedes av staten, og at reglene for hvem som får, og ikke får BankID er styrt av private banker. Dette skaper et alvorlig rettssikkerhetsproblem, at et privat rettssubjekt har fått monopol på en nasjonal identitetstjeneste. Og det uten å være underlagt kravene til gjennomsiktig og rettferdig saksbehandling som gjelder i offentlig forvaltning.
Privat monopol på offentlig funksjon
BankID ble etablert som et samarbeid mellom norske banker for å sikre trygg digital legitimering. I dag er det et uunnværlig verktøy for å logge inn i offentlige elektroniske tjenester som NAV, Skatteetaten, Altinn og høyere utdanning, samt private tjenester som bank, forsikring og helsetjenester. Men til tross for dette fellessamfunnsmessige ansvaret, er det ingen statlig myndighet som utsteder BankID. Tjenesten eies og driftes av BankID BankAxept AS, et selskap kontrollert av norske banker gjennom Vipps Holding AS.
For å få BankID må man først bli kunde i en bank, og det er nettopp her rettssikkerhetsutfordringene oppstår. Å bli kunde i en bank er ingen rettighet. Det er en privatrettslig avtale hvor banken står fritt til å si nei. Dermed har bankene i praksis kontroll over hvem som får tilgang til digital legitimasjon, uten å måtte følge offentlig saksbehandlingspraksis.
Dette gir banker en avgjørende makt over folks tilgang til samfunnets mest sentrale funksjoner uten at bankene må følge forvaltningsrettslige prinsipper som begrunnelse, innsyn eller klagerett. Resultatet er et uoversiktlig maktvakuum der rettssikkerheten taper, og her begynner problemet. Når et digitalt identitetssystem blir avgjørende for deltakelse i samfunnet, og samtidig at det styres av private aktører uten forvaltningsrettslig ansvar, da blir det et rettssikkerhetsproblem når ingen kan klage, få innsyn eller forstå avslaget.
Når forvaltningen må begrunne – men banken kan tie
I forvaltningen har man rett til å få en avgjørelse begrunnet, og man har rett til å klage. Forvaltningsloven stiller krav til saklighet, kontradiksjon og etterprøvbarhet. Disse prinsippene gjelder ikke når en privat bank avslår en søknad om å bli kunde, og de kan dermed nekte deg muligheten til å få BankID.
Bankene kan vise til “interne risikovurderinger” som begrunnelse, eller unnlate å gi noen begrunnelse i det hele tatt. De står også fritt til å avvise søkere med betalingsanmerkninger, utenlandske statsborgere med D-nummer, eller personer med “uklar økonomisk situasjon.” Det finnes ingen lov som krever at avslaget skal dokumenteres, begrunnes eller kunne påklages. Konsekvensen er at enkelte personer rett og slett ekskluderes fra digitalt samfunnsliv uten noen form for offentlig kontroll. Du kan ikke klage til Sivilombudet, og du kan ikke få dokumentinnsyn. Du kan like gjerne bare få et kort svar: “Vi har valgt å ikke opprette kundeforholdet”, eller: “Vi har valgt å avslutte kundeforholdet.”
Hva sikrer forvaltningsloven?
Forvaltningsloven (fvl.) sikrer en rekke grunnleggende rettigheter for borgere når de er i kontakt med offentlige myndigheter:
1. Rett til innsyn i egen sak (§ 18) – man har rett til å se hvordan saken er vurdert.
2. Rett til begrunnelse for vedtak (§ 24–25) – avslaget må forklares.
3. Rett til kontradiksjon (§ 16) – man skal få uttale seg før vedtak fattes.
4. Rett til å klage (§ 28–33) – avgjørelsen kan behandles på nytt.
5. Forbud mot usaklig forskjellsbehandling (§ 6 og 17) – saksbehandlingen må være objektiv og lik for alle.
Disse prinsippene skal beskytte enkeltpersoner mot vilkårlige eller urettferdige beslutninger, og det skal skape tillit mellom borger og stat.
Hva gjelder i bankvesenet?
Private banker er ikke forpliktet til å følge forvaltningsloven. De står dermed fritt til å:
• Avslå søknader om kundeforhold og BankID uten å gi begrunnelse.
• Holde interne vurderinger hemmelige.
• Avvise uten klagerett, bortsett fra eventuell klage til Finansklagenemnda, som kun gir rådgivende uttalelser.
• Unngå kontradiksjon, at man ikke får anledning til å forklare seg før beslutning tas.
Bankene må riktignok forholde seg til lover som:
• Likestillings- og diskrimineringsloven
• Hvitvaskingsloven
• Personopplysningsloven (GDPR)
• Og visse minimumskrav gjennom EUs betalingskontodirektiv, som i Norge er fulgt opp gjennom reglene om rett til “grunnkonto,” altså en enkel bankkonto uten tilhørende eID.
Ifølge EUs betalingskontodirektiv og norsk forskrift har alle med lovlig opphold i EØS rett til en såkalt “grunnkonto.” Det er en enkel brukskonto i bank, men denne ordningen gjelder bare i spesielle tilfeller, og den omfatter ikke BankID. Det betyr at man kan ha rett på konto, men ikke på digital legitimasjon. Uten BankID er grunnkontoen nærmest ubrukelig i dagens digitale økonomi.
Digital identitet og kontroll over adferd
BankID er én av få eID-løsninger i Norge som oppfyller det som kalles sikkerhetsnivå 4, som da er det høyeste nivået for elektronisk ID under eIDAS-rammeverket. Dette nivået kreves for tilgang til sentrale tjenester som Helsenorge, NAV og Skatteetaten.
Staten tilbyr riktignok MinID, men denne er på betydelig lavere sikkerhetsnivå og gir ikke tilgang til de viktigste offentlige elektroniske tjenestene. Dermed må du ha BankID, Buypass eller Commfides. De fleste velger BankID, som er tett integrert med bank og identifikasjon.
Dermed er vi i en situasjon hvor staten stiller krav om eID på nivå 4 og bankene kontrollerer tilgang til denne eID-en, men bankene står utenfor offentlig rettssikkerhetsansvar.
Forestill deg en fremtid hvor den eneste gyldige valutaen er en digital sentralbankvaluta (CBDC), slik flere sentralbanker allerede planlegger. Dersom kontanter fases ut, og all verdioverføring krever både bankkonto og digital ID, er du fullstendig prisgitt systemets betingelser. Hvis du da ikke får BankID, eller mister den, vil du ikke bare være uten nettbank. Du vil ikke kunne betale, og ikke motta lønn. Du vil ikke verken kunne kjøpe eller selge.
Det som i dag er et bankprodukt, blir i morgen en adgangsbillett til virkeligheten.
Hva skjer når en slik ID også kobles til helsejournalen din, til din vaksinasjonsstatus, eller til din adferd? Myndigheter vil da ha et digitalt verktøy for sosial kontroll, og private aktører kan sitte med nøkkelen.
Rettsstaten taper i digitaliseringen
Dette skaper en demokratisk skjevhet, at staten krever at du bruker en eID du bare kan få hvis en privat aktør godtar deg som kunde. De som blir avvist mister ikke bare tilgang til bank, men til hele det digitale Norge, til helsetjenester, selvangivelse, skattekort, studieopptak, og i noen tilfeller stemmegivning ved elektroniske prosesser.
Dette gir en alvorlig konsekvens. Når BankID er nødvendig for å betale regninger, åpne offentlig post og søke sosialstønad, blir retten til en bankkonto og en eID ikke bare økonomisk, men eksistensiell.
Den digitale lommeboken – et løfte med betingelser
På overflaten fremstår EUs nye eIDAS 2.0-forordning som en løsning på det digitale utenforskapet. Den reviderte forordningen, som trådte i kraft 20. mai 2024, pålegger medlemsland å tilby alle borgere gratis en digital lommebok med en elektronisk ID på høyeste sikkerhetsnivå (nivå “høyt”). I Norges nasjonale eID-strategi pekes det på at denne lommeboken skal utstedes som en harmonisert løsning med en felles forretningsmodell for hele EU/EØS. Den skal også kunne inneholde attesterte attributter, som f.eks. førerkort, utdanningsbevis, og potensielt vaksinasjonsstatus.
Dette høres ut som en åpen og inkluderende løsning, og kanskje en etterlengtet motvekt til bankstyrt BankID. Men bak dette løftet ligger det en ny type kontrollmekanisme. Den digitale lommeboken er ikke utformet som en alternativ og selvstendig løsning, slik som MinID har vært. Det er en plattform og den kan sette vilkår.
Der MinID har vært svak, men tilgjengelig, kan den nye digitale lommeboken bli sterk og betinget. Hvis tilgangen til lommeboken knyttes til spesifikke krav, eksempelvis helseattester, registrerte data, eller fremtidige digitale “adferdssertifikater.” Da er det ikke lenger en rettighet, men en adgang som man må kvalifiseres for. Et digitalt vaksinasjonspass kan bli en av mange betingelser som begrenser hvem som faktisk får tilgang til denne “gratis” identiteten.
Det som på papiret ser ut som en universell løsning for å gi digitale rettigheter til alle, kan i praksis bli et nytt filter. Det kan bli et digitalt nåløye, slik som å få bankID kan være, der kontroll med tilgang flyttes fra bankene til overnasjonal regulering. I verste fall byttes én type ekskludering ut med en annen. Da er ikke løsningen nødvendigvis friere. Den er bare mer strukturert og enda vanskeligere å opponere mot.
Et behov for statlig ansvar
Hvis staten krever digital legitimasjon for å utøve grunnleggende rettigheter, må den også tilby et nasjonalt statlig alternativ. Det holder ikke å vise til MinID når den ikke gir tilgang til tjenester som Helsenorge eller NAV. Det trengs en offentlig løsning som oppfyller sikkerhetsnivå 4, og som følger prinsippene i forvaltningsloven med begrunnelse, innsyn og klageadgang.
Det er et stort paradoks at en funksjon så viktig som tilgang til staten selv er delegert til profittdrevne selskaper, og nå i økende grad også til overnasjonale strukturer som EU. Det handler ikke lenger bare om hvilke kriterier en bank legger til grunn for å gi deg tilgang til BankID, men om hvordan adgang til digitale identiteter og samfunnstjenester i fremtiden skal standardiseres og kontrolleres gjennom felles europeiske løsninger. Dette er ikke bare en teknisk feil i organisering. Det er et demokratisk tillitsbrudd, fordi beslutningene tas uten tilstrekkelig åpenhet, uten individuell klagerett, og uten at enkeltpersoner gis innsyn i hvorfor de eventuelt nektes adgang.
Den som kontrollerer identitet kontrollerer også tilgangen til samfunnet. Når denne makten ligger hos banker, uten offentlig ansvar, og i økende grad formes av overnasjonale føringer fra EU, blir rettsstaten digitalt uthult. Hvis ikke Norge innfører et nasjonalt statlig system for eID på høyeste sikkerhetsnivå, vil ekskludering, ulikhet og rettstap fortsette å vokse, og mange vil stå på utsiden av et digitalt samfunn de aldri fikk nøkkelen til.
Proff. (u.å.). Aksjonærer – Vipps Holding AS. Hentet 2. mai 2025 fra https://www.proff.no/aksjon%C3%A6rer/-/vipps-holding-as/920853013
Digitaliseringsdirektoratet. (u.å.). Produktgruppestrategi: Tillitstjenester. Hentet 2. mai 2025 fra https://samarbeid.digdir.no/id-porten/produktgruppestrategi-tillitstjenester/2138
European Commission. (u.å.). What is the wallet? EU Digital Identity Wallet. Hentet 2. mai 2025 fra https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDENTITYWALLET/What+is+the+wallet
Europaparlamentet og Rådet. (2014). Forordning (EU) nr. 910/2014 av 23. juli 2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og om oppheving av direktiv 1999/93/EF (eIDAS). ELI: https://eur-lex.europa.eu/legal-content/NO/TXT/?uri=CELEX%3A32014R0910
Europaparlamentet og Rådet. (2024). Forordning (EU) 2024/1183 av 20. mai 2024 om endring av forordning (EU) nr. 910/2014 med hensyn til etablering av en europeisk digital identitet. ELI: https://eur-lex.europa.eu/legal-content/NO/TXT/?uri=CELEX%3A32024R1183
Europaparlamentet og Rådet. (2014). Artikkel 16 – Rett til betalingskonto med grunnleggende funksjoner, i Direktiv 2014/92/EU av 23. juli 2014. Hentet 2. mai 2025 fra https://eur-lex.europa.eu/legal-content/NO/TXT/?uri=CELEX%3A32014L0092