Reakcija na kritiku
81

IDDEEA odgovorila Siniši Karanu: Iznio je netačne i neosnovane tvrdnje

N. Ž.
Foto: Shutterstock
Foto: Shutterstock
Agencija za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine (IDDEEA) želi informisati graĎane i javnost o netačnim tvrdnjama iznesenim u vezi s našim uslugama digitalnog identiteta i elektronskog potpisa.

Ministar unutrašnjih poslova Republike Srpske Siniša Karan, izjavio je da IDDEEA nema ovlaštenja za uspostavu servisa za direktnu vezu s građanima, te da uvođenje digitalnog potpisa predstavlja potencijalnu opasnost za građane. Ove tvrdnje su, kako navode, netačne i neosnovane.

Zakonski osnov za izdavanje elektronskih certifikata i elektronskog potpisa vezan za identifikacione dokumente regulisan je odredbom člana 8. stav 6. Zakona o Agenciji za identifikaciona dokumenta, evidenciju i razmjenu podataka BiH, kao i Zakonom o elektronskom potpisu BiH, te propisima donesenim na osnovu toga zakona. IDDEEA ima zakonski osnov i nadležnost za pružanje ovih usluga, što je potvrđeno važećom zakonskom regulativom, kao i provedenom recertifikacijom i dokazima o usklađenosti sa eiDAS standardima i zakonima, a koji su i dostavljeni Ministarstvu komunikacija i prometa Bosne i Hercegovine.

Prije svega, nadležnosti Agencije za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine (IDDEEA) utvrđene su odredbama Zakona o Agenciji za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine (“Službeni glasnik BiH” broj 56/08). U pogledu izdavanja elektronskih certifikata i elektronskog potpisa odredba člana 8. stav 6. Zakona o Agenciji propisuje da je IDDEEA nadležna za digitalno potpisivanje u oblasti identifikacionih dokumenata, odnosno zadužena je za elektronske certifikate i elektronske potpise vezano za identifikaciona dokumenata, u skladu sa zakonom kojim se regulira elektronski potpis.

Podsjećamo, IDDEEA je na osnovu odredbi Zakona o elektronskom potpisu Bosne i Hercegovine i podzakonskih akata donesenih na osnovu ovog zakona, upisana u evidenciju ovjerilaca koju vodi Ministarstvo komunikacija i transporta Bosne i Hercegovine, počev od 15.04.2022. godine, pod rednim brojem 3.

Prema evropskoj Regulativi EU No. 910/2014 eIDAS i auditu provedenom 30.09.2021. godine, kao i recertifikacijom provedenom u mjesecu novembru 2023. godine, potvrđeno je da sva oprema, servisi i procesi u Agenciji namjenjeni za izdavanje elektronskih certifikata, odnosno kvalificiranih potvrda u potpunosti ispunjavaju standarde i mjere propisane navedenom regulativom. Samim tim, svi elektronski certifikati koje izdaje IDDEEA su na važećim zakonima utemeljeni i priznati. Na osnovu navedenog evidentno je da postoje jasni pravni osnovi na osnovu kojih IDDEEA ima nadležnost za izdavanje elektronskih certifikata i elektronskih kvalifikovanih potvrda. Sva oprema, servisi i procesi u IDDEEA namjenjeni za izdavanje elektronskih certifikata, odnosno kvalificiranih potvrda u potpunosti ispunjavaju međunarodne standarde i propisane mjere da se procesi identifikacije i autentifikacije korisnika provode na pravilan i propisan način. Obrada podataka se vrši u skladu sa relevantnim propisima koji se odnose na zaštitu i pohranu podataka. Svi procesi i podaci vezani za obradu, prikupljanje i čuvanje podataka, prilikom izdavanja elektronskih potvrda se provode u skladu sa važećim Zakonom o elektronskom potpisu BiH i internim aktima donesenim na osnovu ovog zakona.

Dodatno, IDDEEA u potpunosti provodi mjere, radnje, procese i obaveze propisane Pravilnikom o bližim uslovima za izdavanje kvalifikovanih potvrda (“Službeni glasnik BiH” broj 14/17), kao i internim aktima i dokumentima kojima su propisana praktična pravila za izdavanje kvalifikovanih potvrda, politike certifikacije i ovjeravanja, kao i pravila o elektronskom potpisu koja je utvrdila IDDEEA kao ovlašteno tijelo za pružanje usluga od povjerenja. IDDEEA posebno posvećuje dužnu pažnju na zaštiti ličnih podataka kao i drugih podataka koji nastaju u procesima obrade. Sadržaj evidencija koje vodi IDDEEA propisan je odredbama Zakona o Agenciji i Pravilnika o načinu i sadržaju evidencija (“Službeni glasnik BiH” broj 55/15), te se podaci po sadržaju pohranjuju isključivo u evidencije propisane ovim pravilnikom. Stoga, ponavljamo, za izdavanje elektronskog potpisa IDDEEA je ovlaštena zakonom i upisana je kao nadležno tijelo u evidenciju ovjerilaca.

Dalje, na osnovu izmjena Zakona o ličnoj karti državljana Bosne i Hercegovine iz 2012. godine, donesen je i Pravilnik o dopunama Pravilnika o obrascu zahtjeva za izdavanje i zamjenu lične karte, postupku izdavanja i zamjene lične karte i načinu vođenja evidencija o zahtjevima („Službeni glasnik BiH“, broj 102/12), u kojem je između ostalog propisano da se podnosiocu zahtjeva, tj. građaninu Bosne i Hercegovine izdaje Potvrda o identifikacijskom broju i aktivacijskom broju na obrascu LK/OI – 2A. Potvrda, osim identifikacijskog broja i broja za aktivaciju lične karte, sadrži obavijest da se lična karta ne može koristiti kao dokaz identiteta, niti za prelazak državne granice sve dok se ne izvrši elektronsko evidentiranje datuma preuzimanja lične karte. Potvrda sadrži upute o načinu aktivacije lične karte i upute o aktivaciji identifikacijskog broja za digitalno predstavljanje (E-Identitet).

Dakle, identifikacijskim brojem koji se izdaje građanima prilikom izdavanja lične karte, a sve je propisano Pravilnikom o obrascu zahtjeva za izdavanje i zamjenu lične karte, postupku izdavanja lične karte i načinu vođenja evidencija o zahtjevima („Službeni glasnik BiH“, broj 102/12) i Potvrdom o identifikacijskom broju i aktivacijskom broju na obrascu LK/OI – 2A, koja čini sastavni dio ovog Pravilnika, omogućen je osnov za digitalno predstavljanje građana Bosne i Hercegovine. U Potvrdi o identifikacionom broju na obrascu LK/OI – 2A propisano da za digitalno prestavljanje prilikom korištenja usluge e-servisa stranka koristi identifikacioni broj. Broj koji stranka dobije predstavlja transportni broj i isti je potrebno promjeniti odmah nakon evidentiranja transportnog broja na web stranici Agencije. Uputstvo za promjenu transportnog broja i korištenje identifikacionog broja dobija se na linku http://www.iddeea.gov.ba/

Dakle, sve navedene radnje IDDEEA obavlja apsolutno zakonito i na osnovu važećih propisa. Jedan od najznačajnijih postupaka za zakonito izdavanje kvalifikovanih potvrda svakako je provođenje procedura za certifikaciju u vezi poslova izdavanja kvalifikovanih potvrda prema važećem Zakonu o elektronskom potpisu i eIDAS regulativi.

Tokom mjeseca novembra 2023. godine, proveli smo postupak recertifikacije i dostavli svu relevantnu dokumentaciju Uredu za nadzor i akreditaciju pri Ministarstvu komunikacija i prometa BiH, a na osnovu čega nas je navedeno ministarstvo aktom broj: 10-02-2-1194-5/23 od 23.01.2024. godine, obavijestilo da Agencija za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine, zadržava status akreditovanog ovjerioca u Registru ovjerioca u Bosni i Hercegovini, a sve na temelju SIQ certifikata EIDAS 009/2023 koji je važeći do 03.11.2025. godine, kao i ostalih dokaza i dokumentacije koja je dostavljena u predmetnom postupku.

Uvažavajući činjenicu da smo početkom 2024. godine, proveli aktivnosti i implementirali rješenje za udaljeno digitalno potpisivanje dokumenta, poduzeli smo dodatne mjere na docertifikaciji sistema za izdavanje kvalifikovanih digitalnih potvrda za udaljeno potpisivanje. Certifikacijska kuća SIQ iz Ljubljane - Republika Slovenija je dana 30.04.2024. godine, sačinila konačan Revizorski izvještaj o provedenom certifikacijskom auditu OSV eIDAS 580-2024, koji potvrđuje da je Agencija za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine implementirala TSP servisne komponente koje upravljaju daljinskim QSCD/SCDev.

Navedeni revizijski izvještaj u cijelosti potvrđuje da implementirani sistem za izdavanje kvalifikovanih digitalnih potvrda za udaljeno potpisivanje ispunjava sve zahtjeve utvrđene važećim pravilima, standardima i prema eIDAS regulativi. Na osnovu toga je Ministarstvo komunikacija i prometa aktom broj: 10-29-12-131-3/24 od 09.05.2024. godine, potvrdilo usklađenost dokumentacije ovjerioca IDDEEA prema kojemu su Audit report OSV eIDAS 580-2024 od 30.04.2024. godine i Praktična pravila pružanja usluge ovjeravanja Ovjerioca Agencije za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine (Certification Practices Statement - CPS) od 17.01.2024. godine, u skladu sa Zakonom. Dakle, IDDEEA je nadležni ovjerilac prema zakonu o elektronskom potpisu BiH. Članom 9. istog zakona propisan je postupak izdavanja kvalifikovanih potvrda, postupak identifikacije i podnošenja zahtjeva za izdavanje, a ovaj postupak se obavlja u Registracionim uredima ovjerioca. Prema stavu (2) ovog člana zahtjev za kvalificiranu potvrdu može biti podnesen pravnom licu koje ovlasti ovjerilac. Dakle, identifikacija i zahtjevi korisnika će se vršiti prema pravilima IDDEEA-e kao nadležnog ovjerioca, MUP-ovi mogu biti registracioni uredi, ali samo kao pravna lica koja ovlasti IDDEEA i te poslove mogu obavljati samo prema potpisanim sporazumima koji će definisati obim poslova i radnji i obaveznu primjenu CPS koju je utvrdila isključivo IDDEEA.

Podsjećamo javnost da je još prije dvanaest godina trebao biti uspostavljen siguran i pouzdan sistem za digitalni identitet i elektronski potpis. U posljednjih par mjeseci, kako bi se stiglo sve ono što je godinama propušteno, uloženi su značajni napori i resursi kako bi se omogućila puna primjena ovih tehnologija, koje će građanima Bosne i Hercegovine donijeti brojne benefite. Šteta nanesena građanima kroz neadekvatno informisanje nije zanemariva i na to podsjećamo sve MUP-ove. Naš sistem digitalnog identiteta i elektronskog potpisa predviĎa najviši nivo zaštite ličnih podataka. Također, dodali smo dodatne zaštitne mjere poput višestrukih provjera identiteta, dinamičkih kodova i sl., što je pohvaljeno od strane stručnjaka na međunarodnim događajima poput "Identity Week“.

Ono što je veoma bitno napomenuti da je IDDEEA u skladu sa važećim propisima na nivou Bosne i Hercegovine u procesu akreditacije procesa digitalnog potpisivanja morala dokazati da ima osiguranje za moguće štetne slučajeve, što dodatno garantuje sigurnost korisnicima. IDDEEA je međunarodno certifikovana i upisana u listu ovjeritelja, što potvrđuje našu usklađenost sa svim relevantnim standardima i propisima. Ova činjenica dodatno potvrđuje pouzdanost naših usluga i sistema.

U Bosni i Hercegovini postoje jasni propisi u vezi obavljanja poslova u vezi usluga izdavanja kavalifikovanih potvrda. Na osnovu tih propisa najmanje jedan od ovjerilaca upisanih u evidenciju pruža usluge e-identiteta i usluga potpisivanja u cloudu. Također postoji i entitetski organ koji je „implementirao“ Nacionalni centar za upravljanje digitalnim identitetima, ali očito da za sve ne vrijede ista pravila i izražavanje zabrinutosti u pogledu zaštite podataka i krađe identiteta.

Postavlja se pitanje zašto je IDDEEA meta? Možda zato što u skladu sa zakonima želimo uspostaviti i pružiti usluge koje će građane Bosne i Hercegovine biti besplatne? Možda nekome narušavamo biznis planove po ovim pitanjima? Možda da se skrene pažnja sa drugih eventualnih i potencijalnih slučajeva krađe identiteta npr. loših otisaka prstiju i nekvalitetne biometrije u nekim drugim postupcima vezanim za identifikacione dokumente na koje smo ukazali, te iste prijavili nadležnim organima? Ili pak zbog implementiranih Sistema za praćenje logova i pretraživanja po evidencijama u cilju zaštite ličnih podataka građana Bosne i Hercegovine pa u tom slučaju nekim od korisnika ne odgovaraju izvještaji kad, ko i u čije ime je pretraživao podatke, što je do sada bila uobičajena praksa? O ovim pitanjima svakako oni koji ovo budu čitali mogu donijeti zaključke.

U zaključku, IDDEEA je zakonski ovlaštena za uspostavljanje servisa digitalnog identiteta i izdavanje elektronskih certifikata i kvalifikovanog elektronskog potpisa vezano za identifikacione dokumente u Bosni i Hercegovini. Ove nadležnosti su jasno propisane važećim zakonima i propisima BiH, a IDDEEA je ispunila sve potrebne uslove i standarde za pružanje ovih usluga, što je potvrđeno kroz međunarodnu certifikaciju i upis u evidenciju ovjerilaca. Sistem digitalnog identiteta i elektronskog potpisa koji implementira IDDEEA osigurava najviši nivo zaštite ličnih podataka i sigurnosti, uz primjenu naprednih kriptografskih metoda i višestrukih mehanizama potvrde identiteta. IDDEEA nastavlja razvijati i unapređivati ove digitalne servise u interesu građana BiH, pozivajući sve zainteresovane strane na konstruktivnu saradnju umjesto dezinformacija koje narušavaju povjerenje javnosti, te nudi svim zainteresovanim stranama besplatne edukacije iz navedene oblasti