Agencija za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine (IDDEEA) želi informirati građane i javnost o netočnim tvrdnjama iznesenim u svezi s našim uslugama digitalnog identiteta i elektroničkog potpisa.
Ministar unutarnjih poslova Republike Srpske, gospodin Siniša Karan, izjavio je da IDDEEA nema ovlasti za uspostavu servisa za izravnu vezu s građanima, te da uvođenje digitalnog potpisa predstavlja potencijalnu opasnost za građane.
Ove tvrdnje su netočne i neutemeljene.
Zakonski temelj za izdavanje elektroničkih certifikata i elektroničkog potpisa vezan za identifikacijske isprave reguliran je odredbom članka 8. stavak 6. Zakona o Agenciji za identifikacijske isprave, evidenciju i razmjenu podataka BiH, kao i Zakonom o elektroničkom potpisu BiH, te propisima donijetim na temelju toga zakona. IDDEEA ima zakonski temelj i nadležnost za pružanje ovih usluga, što je potvrđeno važećom zakonskom regulativom, kao i provedenim recertificiranjem i dokazima o usklađenosti s eiDAS standardima i zakonima, a koji su i dostavljeni Ministarstvu komunikacija i prometa Bosne i Hercegovine.
Prije svega, nadležnosti Agencije za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine (IDDEEA) utvrđene su odredbama Zakona o Agenciji za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine (“Službeni glasnik BiH” broj 56/08). U pogledu izdavanja elektroničkih certifikata i elektroničkog potpisa odredba članka 8. stavak 6. Zakona o Agenciji propisuje da je IDDEEA nadležna za digitalno potpisivanje u oblasti identifikacijskih isprava, odnosno zadužena je za elektroničke certifikate i elektroničke potpise vezano za identifikacijske isprave, u skladu sa zakonom kojim se regulira elektronički potpis.
Podsjećamo, IDDEEA je na temelju odredbi Zakona o elektroničkom potpisu Bosne i Hercegovine i podzakonskih akata donesenih na temelju ovog zakona, upisana u evidenciju ovjeritelja koju vodi Ministarstvo komunikacija i prometa Bosne i Hercegovine, počev od 15.04.2022. godine, pod rednim brojem 3. Prema europskoj Regulativi EU No. 910/2014 eIDAS i auditu provedenom 30.09.2021. godine, kao i recertificiranjem provedenim u mjesecu studenom 2023. godine, potvrđeno je da sva oprema, servisi i procesi u Agenciji namijenjeni za izdavanje elektroničkih certifikata, odnosno kvalificiranih potvrda u potpunosti ispunjavaju standarde i mjere propisane navedenom regulativom. Samim tim, svi elektronički certifikati koje izdaje IDDEEA su na važećim zakonima utemeljeni i priznati. Na temelju navedenog evidentno je da postoje jasni pravni temelji na temelju kojih IDDEEA ima nadležnost za izdavanje elektroničkih certifikata i elektroničkih kvalificiranih potvrda. Sva oprema, servisi i procesi u IDDEEA namijenjeni za izdavanje elektroničkih certifikata, odnosno kvalificiranih potvrda u potpunosti ispunjavaju međunarodne standarde i propisane mjere da se procesi identificiranja i autentificiranja korisnika provode na pravilan i propisan način. Obrada podataka obavalja se sukladno s relevantnim propisima koji se odnose na zaštitu i pohranu podataka. Svi procesi i podaci vezani za obradu, prikupljanje i čuvanje podataka, prilikom izdavanja elektroničkih potvrda se provode u skladu s važećim Zakonom o elektroničkom potpisu BiH i internim aktima donesenim na temelju ovog zakona.
Dodatno, IDDEEA u potpunosti provodi mjere, radnje, procese i obveze propisane Pravilnikom o bližim uvjetima za izdavanje kvalificiranih potvrda (“Službeni glasnik BiH” broj 14/17), kao i internim aktima i dokumentima kojima su propisana praktična pravila za izdavanje kvalificiranih potvrda, politike certifikacije i ovjeravanja, kao i pravila o elektroničkom potpisu koja je utvrdila IDDEEA kao ovlašteno tijelo za pružanje usluga od povjerenja. IDDEEA posebno posvećuje dužnu pažnju na zaštiti osobnih podataka kao i drugih podataka koji nastaju u procesima obrade. Sadržaj evidencija koje vodi IDDEEA propisan je odredbama Zakona o Agenciji i Pravilnika o načinu i sadržaju evidencija (“Službeni glasnik BiH” broj 55/15), te se podaci po sadržaju pohranjuju isključivo u evidencije propisane ovim pravilnikom. Stoga, ponavljamo, za izdavanje elektroničkog potpisa IDDEEA je ovlaštena zakonom i upisana je kao nadležno tijelo u evidenciju ovjeritelja.
Nadalje, na temelju izmjena Zakona o osobnoj iskaznici državljana Bosne i Hercegovine iz 2012. godine, donesen je i Pravilnik o dopunama Pravilnika o obrascu zahtjeva za izdavanje i zamjenu osobne iskaznice, postupku izdavanja i zamjene osobne iskaznice i načinu vođenja evidencija o zahtjevima („Službeni glasnik BiH“, broj 102/12), u kojem je između ostalog propisano da se podnositelju zahtjeva, tj. građaninu Bosne i Hercegovine izdaje Potvrda o identifikacijskom broju i aktivacijskom broju na obrascu LK/OI – 2A. Potvrda, osim identifikacijskog broja i broja za aktivaciju osobne iskaznice, sadrži obavijest da se osobna iskaznica ne može koristiti kao dokaz identiteta, niti za prelazak državne granice sve dok se ne obavi elektroničko evidentiranje nadnevka preuzimanja osobne iskaznice. Potvrda sadrži upute o načinu aktivacije osobne iskaznice i upute o aktivaciji identifikacijskog broja za digitalno predstavljanje (E-Identitet). Dakle, identifikacijskim brojem koji se izdaje građanima prilikom izdavanja osobne iskaznice, a sve je propisano Pravilnikom o obrascu zahtjeva za izdavanje i zamjenu osobne iskaznice, postupku izdavanja osobne iskaznice i načinu vođenja evidencija o zahtjevima („Službeni glasnik BiH“, broj 102/12) i Potvrdom o identifikacijskom broju i aktivacijskom broju na obrascu LK/OI – 2A, koja čini sastavni dio ovog Pravilnika, omogućen je temelj za digitalno predstavljanje građana Bosne i Hercegovine. U Potvrdi o identifikacionom broju na obrascu LK/OI – 2A propisano da za digitalno predstavljanje prilikom korištenja usluge e-servisa stranka koristi identifikacijski broj. Broj koji stranka dobije predstavlja transportni broj i isti je potrebno promijeniti odmah nakon evidentiranja transportnog broja na web stranici Agencije. Naputak za promjenu transportnog broja i korištenje identifikacijskog broja dobija se na linku http://www.iddeea.gov.ba/
Dakle, sve navedene radnje IDDEEA obavlja u potpunosti zakonito i na temelju važećih propisa. Jedan od najznačajnijih postupaka za zakonito izdavanje kvalificiranih potvrda svakako je provođenje procedura za certificiranje u svezi poslova izdavanja kvalificiranih potvrda prema važećem Zakonu o elektroničkom potpisu i eIDAS regulativi. Tijekom mjeseca studenog 2023. godine, proveli smo postupak recertificiranja i dostavili svu relevantnu dokumentaciju Uredu za nadzor i akreditiranje pri Ministarstvu komunikacija i prometa BiH, a na temelju čega nas je navedeno ministarstvo aktom broj: 10-02-2-1194-5/23 od 23.01.2024. godine, izvijestilo da Agencija za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine, zadržava status akreditiranog ovjeritelja u Registru ovjeritelja u Bosni i Hercegovini, a sve na temelju SIQ certifikata EIDAS 009/2023 koji je važeći do 03.11.2025. godine, kao i ostalih dokaza i dokumentacije koja je dostavljena u predmetnom postupku. Uvažavajući činjenicu da smo početkom 2024. godine, proveli aktivnosti i implementirali rješenje za udaljeno digitalno potpisivanje dokumenta, poduzeli smo dodatne mjere na docertificiranju sustava za izdavanje kvalificiranih digitalnih potvrda za udaljeno potpisivanje. Certifikacijska kuća SIQ iz Ljubljane – Republika Slovenija je dana 30.04.2024. godine, napravila konačno Revizorsko izvješće o provedenom certifikacijskom auditu OSV eIDAS 580-2024, koji potvrđuje da je Agencija za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine implementirala TSP servisne komponente koje upravljaju daljinskim QSCD/SCDev. Navedeno revizorsko izvješće u cijelosti potvrđuje da implementirani sustav za izdavanje kvalificiranih digitalnih potvrda za udaljeno potpisivanje ispunjava sve zahtjeve utvrđene važećim pravilima, standardima i prema eIDAS regulativi. Na temelju toga je Ministarstvo komunikacija i prometa aktom broj: 10-29-12-131-3/24 od 09.05.2024. godine, potvrdilo usklađenost dokumentacije ovjeritelja IDDEEA prema kojemu su Audit report OSV eIDAS 580-2024 od 30.04.2024. godine i Praktična pravila pružanja usluge ovjeravanja Ovjeritelja Agencije za identifikacijske isprave, evidenciju i razmjenu podataka Bosne i Hercegovine (Certification Practices Statement – CPS) od 17.01.2024. godine, sukladna sa Zakonom. Dakle, IDDEEA je nadležni ovjeritelj prema zakonu o elektroničkom potpisu BiH. Člankom 9. istog zakona propisan je postupak izdavanja kvalificiranih potvrda, postupak identificiranja i podnošenja zahtjeva za izdavanje, a ovaj postupak se obavlja u Registracijskim uredima ovjeritelja. Prema stavku (2) ovog članka zahtjev za kvalificiranu potvrdu može biti podnesen pravnoj osobi koju ovlasti ovjeritelj. Dakle, identificiranje i zahtjevi korisnika će se obavljatii sukladno pravilima IDDEEA-e kao nadležnog ovjeritelja, MUP-ovi mogu biti registracijski uredi, ali samo kao pravne osobe koje ovlasti IDDEEA i te poslove mogu obavljati samo prema potpisanim sporazumima koji će definirati obujam poslova i radnji i obveznu primjenu CPS koju je utvrdila isključivo IDDEEA.
Podsjećamo javnost da je još prije dvanaest godina trebao biti uspostavljen siguran i pouzdan sustav za digitalni identitet i elektronički potpis. U posljednjih par mjeseci, kako bi se stiglo sve ono što je godinama propušteno, uloženi su značajni napori i resursi kako bi se omogućila puna primjena ovih tehnologija, koje će građanima Bosne i Hercegovine donijeti brojne benefite. Šteta nanesena građanima kroz neadekvatno informiranje nije zanemariva i na to podsjećamo sve MUP-ove. Naš sustav digitalnog identiteta i elektroničkog potpisa predviđa najviši nivo zaštite osobnih podataka. Također, dodali smo dodatne zaštitne mjere poput višestrukih provjera identiteta, dinamičkih kodova i sl., što je pohvaljeno od strane stručnjaka na međunarodnim događajima poput „Identity Week“.
Ono što je veoma bitno napomenuti da je IDDEEA sukladno s važećim propisima na razini Bosne i Hercegovine u procesu akreditiranja procesa digitalnog potpisivanja morala dokazati da ima osiguranje za moguće štetne slučajeve, što dodatno garantira sigurnost korisnicima. IDDEEA je međunarodno certificirana i upisana u popis ovjeritelja, što potvrđuje našu usklađenost sa svim relevantnim standardima i propisima. Ova činjenica dodatno potvrđuje pouzdanost naših usluga i sustava.
U Bosni i Hercegovini postoje jasni propisi u svezi obavljanja poslova u svezi usluga izdavanja kvalificiranih potvrda. Na temelju tih propisa najmanje jedan od ovjeritelja upisanih u evidenciju pruža usluge e-identiteta i usluga potpisivanja u cloudu. Također postoji i entitetsko tijelo koje je „implementirao“ Nacionalni centar za upravljanje digitalnim identitetima, ali očito da za sve ne vrijede ista pravila i izražavanje zabrinutosti u pogledu zaštite podataka i krađe identiteta.
Postavlja se pitanje zašto je IDDEEA meta? Možda zato što sukladno sa zakonima želimo uspostaviti i pružiti usluge koje će građanima Bosne i Hercegovine biti besplatne? Možda nekome narušavamo biznis planove po ovim pitanjima? Možda da se skrene pozornost sa drugih eventualnih i potencijalnih slučajeva krađe identiteta npr. loših otisaka prstiju i nekvalitetne biometrije u nekim drugim postupcima vezanim za identifikacijske isprave na koje smo ukazali, te iste prijavili nadležnim tijelima? Ili pak zbog implementiranih sustava za praćenje logova i pretraživanja po evidencijama u cilju zaštite osobnih podataka građana Bosne i Hercegovine pa u tom slučaju nekim od korisnika ne odgovaraju izvješća kad, tko i u čije ime je pretraživao podatke, što je do sada bila uobičajena praksa? O ovim pitanjima svakako oni koji ovo budu čitali mogu donijeti zaključke.
U zaključku, IDDEEA je zakonski ovlaštena za uspostavu servisa digitalnog identiteta i izdavanje elektroničkih certifikata i kvalificiranog elektroničkog potpisa vezano za identifikacijske isprave u Bosni i Hercegovini. Ove nadležnosti su jasno propisane važećim zakonima i propisima BiH, a IDDEEA je ispunila sve potrebne uvjete i standarde za pružanje ovih usluga, što je potvrđeno kroz međunarodnu certifikaciju i upis u evidenciju ovjeritelja. Sustav digitalnog identiteta i elektroničkog potpisa koji implementira IDDEEA osigurava najviši nivo zaštite osobnih podataka i sigurnosti, uz primjenu naprednih kriptografskih metoda i višestrukih mehanizama potvrde identiteta. IDDEEA nastavlja razvijati i unapređivati ove digitalne servise u interesu građana BiH, pozivajući sve zainteresirane strane na konstruktivnu suradnju umjesto dezinformacija koje narušavaju povjerenje javnosti, te nudi svim zainteresiranim stranama besplatne edukacije iz navedene oblasti.