Агенција за идентификациона документа, евиденцију и размјену података Босне и Херцеговине (IDDEEA) жели информисати грађане и јавност о нетачним тврдњама изнесеним у вези с нашим услугама дигиталног идентитета и електронског потписа.
Министар унутрашњих послова Републике Српске, господин Синиша Каран, изјавио је да IDDEEA нема овлаштења за успоставу сервиса за директну везу с грађанима, те да увођење дигиталног потписа представља потенцијалну опасност за грађане.
Ове тврдње су нетачне и неосноване.
Законски основ за издавање електронских цертификата и електронског потписа везан за идентификационе документе регулисан је одредбом члана 8. став 6. Закона о Агенцији за идентификациона документа, евиденцију и размјену података БиХ, као и Законом о електронском потпису БиХ, те прописима донесеним на основу тога закона. IDDEEA има законски основ и надлежност за пружање ових услуга, што је потврђено важећом законском регулативом, као и проведеном ресертификацијом и доказима о усклађености са eIDAS стандардима и законима, а који су и достављени Министарству комуникација и промета Босне и Херцеговине.
Прије свега, надлежности Агенције за идентификационе документе, евиденцију и размјену података Босне и Херцеговине (IDDEEA) утврђене су одредбама Закона о Агенцији за идентификационе документе, евиденцију и размјену података Босне и Херцеговине (“Службени гласник БиХ” број 56/08). У погледу издавања електронских цертификата и електронског потписа одредба члана 8. став 6. Закона о Агенцији прописује да је IDDEEA надлежна за дигитално потписивање у области идентификационих докумената, односно задужена је за електронске сертификате и електронске потписе везано за идентификациона докумената, у складу са законом којим се регулише електронски потпис.
Подсјећамо, IDDEEA је на основу одредби Закона о електронском потпису Босне и Херцеговине и подзаконских аката донесених на основу овог закона, уписана у евиденцију овјерилаца коју води Министарство комуникација и транспорта Босне и Херцеговине, почев од 15.04.2022. године, под редним бројем 3. Према европској Регулативи ЕУ бр. 910/2014 eIDAS и аудиту проведеном 30.09.2021. године, као и ресертификацијом проведеном у мјесецу новембру 2023. године, потврђено је да сва опрема, сервиси и процеси у Агенцији намјењени за издавање електронских сертификата, односно квалификованих потврда у потпуности испуњавају стандарде и мјере прописане наведеном регулативом. Самим тим, сви електронски сертификати које издаје IDDEEA су на важећим законима утемељени и признати. На основу наведеног евидентно је да постоје јасни правни основи на основу којих IDDEEA има надлежност за издавање електронских сертификата и електронских квалификованих потврда. Сва опрема, сервиси и процеси у IDDEEA намјењени за издавање електронских сертификата, односно квалификованих потврда у потпуности испуњавају међународне стандарде и прописане мјере да се процеси идентификације и аутентификације корисника проводе на правилан и прописан начин. Обрада података се врши у складу са релевантним прописима који се односе на заштиту и похрану података. Сви процеси и подаци везани за обраду, прикупљање и чување података, приликом издавања електронских потврда се проводе у складу са важећим Законом о електронском потпису БиХ и интерним актима донесеним на основу овог закона.
Додатно, IDDEEA у потпуности проводи мјере, радње, процесе и обавезе прописане Правилником о ближим условима за издавање квалификованих потврда (“Службени гласник БиХ” број 14/17), као и интерним актима и документима којима су прописана практична правила за издавање квалификованих потврда, политике сертификације и овјеравања, као и правила о електронском потпису која је утврдила IDDEEA као овлаштено тијело за пружање услуга од повјерења. IDDEEA посебно посвећује дужну пажњу на заштити личних података као и других података који настају у процесима обраде. Садржај евиденција које води IDDEEA прописан је одредбама Закона о Агенцији и Правилника о начину и садржају евиденција (“Службени гласник БиХ” број 55/15), те се подаци по садржају похрањују искључиво у евиденције прописане овим правилником. Стога, понављамо, за издавање електронског потписа IDDEEA је овлаштена законом и уписана је као надлежно тијело у евиденцију овјерилаца.
Даље, на основу измјена Закона о личној карти држављана Босне и Херцеговине из 2012. године, донесен је и Правилник о допунама Правилника о обрасцу захтјева за издавање и замјену личне карте, поступку издавања и замјене личне карте и начину вођења евиденција о захтјевима („Службени гласник БиХ“, број 102/12), у којем је између осталог прописано да се подносиоцу захтјева, тј. грађанину Босне и Херцеговине издаје Потврда о идентификационом броју и активацијском броју на обрасцу ЛК/ОИ – 2А. Потврда, осим идентификационоог броја и броја за активацију личне карте, садржи обавијест да се лична карта не може користити као доказ идентитета, нити за прелазак државне границе све док се не изврши електронско евидентирање датума преузимања личне карте. Потврда садржи упуте о начину активације личне карте и упуте о активацији идентификационог броја за дигитално представљање (Е-Идентитет). Дакле, идентификацијским бројем који се издаје грађанима приликом издавања личне карте, а све је прописано Правилником о обрасцу захтјева за издавање и замјену личне карте, поступку издавања личне карте и начину вођења евиденција о захтјевима („Службени гласник БиХ“, број 102/12) и Потврдом о идентификацијском броју и активацијском броју на обрасцу ЛК/ОИ – 2А, која чини саставни дио овог Правилника, омогућен је основ за дигитално представљање грађана Босне и Херцеговине. У Потврди о идентификационом броју на обрасцу ЛК/ОИ – 2А прописано да за дигитално престављање приликом кориштења услуге е-сервиса странка користи идентификациони број. Број који странка добије представља транспортни број и исти је потребно промјенити одмах након евидентирања транспортног броја на wеб страници Агенције. Упутство за промјену транспортног броја и кориштење идентификационог броја добија се на линку http://www.iddeea.gov.ba/ .
Дакле, све наведене радње IDDEEA обавља апсолутно законито и на основу важећих прописа. Један од најзначајнијих поступака за законито издавање квалификованих потврда свакако је провођење процедура за сертификацију у вези послова издавања квалификованих потврда према важећем Закону о електронском потпису и eIDAS регулативи. Током мјесеца новембра 2023. године, провели смо поступак ресертификације и доставли сву релевантну документацију Канцеларији за надзор и акредитацију при Министарству комуникација и промета БиХ, а на основу чега нас је наведено министарство актом број: 10-02-2-1194-5/23 од 23.01.2024. године, обавијестило да Агенција за идентификациона документа, евиденцију и размјену података Босне и Херцеговине, задржава статус акредитованог овјериоца у Регистру овјериоца у Босни и Херцеговини, а све на темељу SIQ сертификата eIDAS 009/2023 који је важећи до 03.11.2025. године, као и осталих доказа и документације која је достављена у предметном поступку. Уважавајући чињеницу да смо почетком 2024. године, провели активности и имплементирали рјешење за удаљено дигитално потписивање документа, подузели смо додатне мјере на доцертификацији система за издавање квалификованих дигиталних потврда за удаљено потписивање. Цертификацијска кућа SIQ из Љубљане – Република Словенија је дана 30.04.2024. године, сачинила коначан Ревизорски извјештај о проведеном сертификацијском аудиту OSV eIDAS 580-2024, који потврђује да је Агенција за идентификациона документа, евиденцију и размјену података Босне и Херцеговине имплементирала TSP сервисне компоненте које управљају даљинским QSCD/SCDev. Наведени ревизијски извјештај у цијелости потврђује да имплементирани систем за издавање квалификованих дигиталних потврда за удаљено потписивање испуњава све захтјеве утврђене важећим правилима, стандардима и према eIDAS регулативи. На основу тога је Министарство комуникација и транспорта актом број: 10-29-12-131-3/24 од 09.05.2024. године, потврдило усклађеност документације овјериоца IDDEEA према којему су Аудит репорт OSV eIDAS 580-2024 од 30.04.2024. године и Практична правила пружања услуге овјеравања Овјериоца Агенције за идентификациона документа, евиденцију и размјену података Босне и Херцеговине (Certification Practices Statement – CPS) од 17.01.2024. године, у складу са Законом. Дакле, IDDEEA је надлежни овјерилац према закону о електронском потпису БиХ. Чланом 9. истог закона прописан је поступак издавања квалификованих потврда, поступак идентификације и подношења захтјева за издавање, а овај поступак се обавља у Регистрационим уредима овјериоца. Према ставу (2) овог члана захтјев за квалификовану потврду може бити поднесен правном лицу које овласти овјерилац. Дакле, идентификација и захтјеви корисника ће се вршити према правилима IDDEEA-е као надлежног овјериоца, МУП-ови могу бити регистрациони уреди, али само као правна лица која овласти IDDEEA и те послове могу обављати само према потписаним споразумима који ће дефинисати обим послова и радњи и обавезну примјену CPS коју је утврдила искључиво IDDEEA.
Подсјећамо јавност да је још прије дванаест година требао бити успостављен сигуран и поуздан систем за дигитални идентитет и електронски потпис. У посљедњих пар мјесеци, како би се стигло све оно што је годинама пропуштено, уложени су значајни напори и ресурси како би се омогућила пуна примјена ових технологија, које ће грађанима Босне и Херцеговине донијети бројне бенефите. Штета нанесена грађанима кроз неадекватно информисање није занемарива и на то подсјећамо све МУП-ове. Наш систем дигиталног идентитета и електронског потписа предвиђа највиши ниво заштите личних података. Такође, додали смо додатне заштитне мјере попут вишеструких провјера идентитета, динамичких кодова и сл., што је похваљено од стране стручњака на међународним догађајима попут „Identity Week“.
Оно што је веома битно напоменути да је IDDEEA у складу са важећим прописима на нивоу Босне и Херцеговине у процесу акредитације процеса дигиталног потписивања морала доказати да има осигурање за могуће штетне случајеве, што додатно гарантује сигурност корисницима. IDDEEA је међународно сертификована и уписана у листу овјерилаца, што потврђује нашу усклађеност са свим релевантним стандардима и прописима. Ова чињеница додатно потврђује поузданост наших услуга и система.
У Босни и Херцеговини постоје јасни прописи у вези обављања послова у вези услуга издавања кавалификованих потврда. На основу тих прописа најмање један од овјерилаца уписаних у евиденцију пружа услуге е-идентитета и услуга потписивања у облаку. Такође постоји и ентитетски орган који је „имплементирао“ Национални центар за управљање дигиталним идентитетима, али очито да за све не вриједе иста правила и изражавање забринутости у погледу заштите података и крађе идентитета.
Поставља се питање зашто је IDDEEA мета? Можда зато што у складу са законима желимо успоставити и пружити услуге које ће грађане Босне и Херцеговине бити бесплатне? Можда некоме нарушавамо бизнис планове по овим питањима? Можда да се скрене пажња са других евентуалних и потенцијалних случајева крађе идентитета нпр. лоших отисака прстију и неквалитетне биометрије у неким другим поступцима везаним за идентификационе документе на које смо указали, те исте пријавили надлежним органима? Или пак због имплементираних система за праћење логова и претраживања по евиденцијама у циљу заштите личних података грађана Босне и Херцеговине па у том случају неким од корисника не одговарају извјештаји кад, ко и у чије име је претраживао податке, што је до сада била уобичајена пракса? О овим питањима свакако они који ово буду читали могу донијети закључке.
У закључку, IDDEEA је законски овлаштена за успостављање сервиса дигиталног идентитета и издавање електронских сертификата и квалификованог електронског потписа везано за идентификационе документе у Босни и Херцеговини. Ове надлежности су јасно прописане важећим законима и прописима БиХ, а IDDEEA је испунила све потребне услове и стандарде за пружање ових услуга, што је потврђено кроз међународну сертификацију и упис у евиденцију овјерилаца. Систем дигиталног идентитета и електронског потписа који имплементира IDDEEA осигурава највиши ниво заштите личних података и сигурности, уз примјену напредних криптографских метода и вишеструких механизама потврде идентитета. IDDEEA наставља развијати и унапређивати ове дигиталне сервисе у интересу грађана БиХ, позивајући све заинтересоване стране на конструктивну сарадњу умјесто дезинформација које нарушавају повјерење јавности, те нуди свим заинтересованим странама бесплатне едукације из наведене области.