Høring. NOU 2001: 10 ”Uten penn og blekk – Bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen”

Generelle synspunkter
Finansnæringens Hovedorganisasjon (FNH) og Sparebankforeningen vil innledningsvis giPKI-utvalget honnør for en omfangsrik og grundig utredning om bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen. Utredningen (inntatt i NOU 2001: 10) danner etter vårt syn et viktig grunnlag for konkrete initiativer, regelutforming, nærmere utredninger og videre samarbeid både innad i den offentlige forvaltning og mot publikum og aktuelle tjenesteleverandører.
 

PKI-utvalget reiser mange viktige problemstillinger om bruken av digitale signaturer. Dette gjelder ikke minst i relasjon til teknologi- og ressursmessige begrensinger i utbredelsen og bruken av sertifikater, for eksempel mangel på tilfredsstillende internasjonale standarder og nødvendig tekniske utrustninger herunder chipkort-lesere. Utvalgets vurderinger og anbefalinger setter fokus på en rekke utfordringer for både forvaltningen og næringslivet som må avklares innen rimelig tid gjennom dialog og samarbeid.

Bruken av digitale signaturer mot og i forvaltningen vil kunne bli en viktig faktor for å styrke norske aktørers konkurransekraft. Av sentral betydning i denne sammenheng er at kommunikasjonsprosessen og forvaltningens saksbehandling forenkles og effektiviseres bl.a. ved at PKI knyttes opp til regjeringens mål om døgnåpen forvaltning innen 2003. I dette perspektivet bør elektronisk samhandling, tjenesteyting, saksbehandling og innkjøp i offentlig sektor fremstå som hovedtilbudet overfor publikum. Bruken av elektroniske medier bør på sikt bli den viktigste kanalen for verdiskapning nasjonalt og internasjonalt.

En felles handlingsplan vil kunne bidra til å koordinere aktivitetene slik at det ikke oppstår et unødvendig gap mellom publikums forventninger om sikker elektronisk kommunikasjon og forvaltningens faktiske tilbud. I denne sammenheng er det av sentral betydning å utvikle anvendbare tjenester slik at publikum ser nytten og effekten av å ta i bruk sertifikater i kommunikasjonen med forvaltningen. Det er viktig å unngå at utredninger av denne type blir en teoretisk øvelse. En nærmere dialog mellom forvaltningen, næringslivet og tjenesteleverandører kan gjerne, slik utvalget anbefaler, skje i regi av nytt Forum for digitale signaturer. Et samarbeid på dette nivået må imidlertid ikke medføre at konkurransen mellom aktørene nøytraliseres.

Banknæringen er positiv til samtrafikk med andre aktører og til etablering av samtrafikk­tjenester basert på frivillighet og et fungerende marked. FNH og Sparebankforeningen er imidlertid skeptiske til ordninger med kryssertifisering. Kryssertifisering er ikke bare et spørsmål om valg av teknologi og funksjonelle løsninger, men reiser en rekke fundamentale problemstillinger av forretningsmessig og juridisk karakter, ikke minst av ansvarsmessig art. Slike ordninger er ikke bare et nasjonalt anliggende, men har en internasjonal dimensjon med konsekvenser som det pr i dag ikke er mulig å få oversikt over eller beregne omfanget av.

FNH og Sparebankforeningen er enig i at det bør settes av egne midler til stimulering av bruk av digitale signaturer og PKI i forvaltningen herunder til informasjonskampanjer som kan øke kunnskapen om bruk av e-signaturer samt elektronisk forretningsdrift og handel generelt. Dette kan eventuelt skje innenfor rammene av eNorge-planen. Det foreslåtte beløp på kr. 9 millioner i 2002 synes svært lavt tatt i betraktning av at PKI og bruk digitale signatur er en avgjørende faktor for introduksjonen av døgnåpen forvaltning i 2003. Etter vår vurdering bør myndighetene gå inn med betydelige midler for å bygge opp en solid infrastruktur med tilhørende funksjoner som kan sikre et varig grunnlag for elektronisk samhandling.

Ved lanseringen av eNorge 3.0 ble det lagt vekt på at bredbånd og mobilt internett er satsningsområder fra regjeringens side. Vi tillater oss å bemerke at uten tilstrekkelige sikkerhetsmekanismer av innhold og tjenester i disse distribusjonskanalene bli svært begrenset. En satsning på infrastruktur for digital ID og signatur kan dermed sies å ha større betydning i den nåværende fasen av markedsutviklingen.

FNH og Sparebankforeningens kommentarer knytter seg til PKI-utvalgets anbefalinger slik de er presentert i NOU’en pkt 2.2 samt i enkelte deler av utredningen forøvrig.
Kommentarer til PKI-utvalgets anbefalinger

Under henvisning til det løpende internasjonale arbeidet med regelverk og standardisering på området, herunder EU-direktiv 13.12.1999 (1999/93/EF) om en fellesskapsramme for elektroniske signaturer, har PKI-utvalget kommet til at det kan være behov for fire typer sertifikater (sertifikatprofiler):Til pkt. 2.2.1, jf kap 7, Sertifikattyper og identifisering

·Ansattsertifikater (sertifikater for de ansatte i forvaltningen),
               

·Virksomhetssertifikater (sertifikater for virksomheter),
               

Offentlige personsertifikater (sertifikater for privatpersoner),·               

Profesjonssertifikater (personlige sertifikater som knytter en person til et bestemt yrke/utdanning og eventuelt autorisasjon/godkjenning fra en myndighet eller en organisasjon).·               

FNH og Sparebankforeningen vil generelt gi uttrykk for at næringen stiller seg positiv til et samarbeid om utforming av sertifikatprofiler. Banknæringen er i utgangspunktet opptatt av at internasjonale standarder benyttes, og vurderer også alternative internasjonale initiativer og modeller som Identrus og GTA.

BankID-Samarbeidet vil legge forholdene til rette for at den enkelte bank vil kunne utstede de nevnte sertifikattyper, dog med et lite forbehold når det gjelder profesjonssertifikater. Vi er opptatt av å tilrettelegge for at BankID skal kunne få bred anvendelse, og forvaltningen vil etter vår oppfatning kunne ha god nytte av BankID når sertifikatene får allmenn utbredelse. Gevinsten vil bli særlig synlig der automatiserte tjenester benyttes (for eksempel mot Skatteetaten ogBrønnøysundregistrene).
 

personsertifikat ha unike identifikatorer som definerer sertifikatinnehaver. Sertifikatinnehavers fødselsnummer vil imidlertid være lett tilgjengelig for autoriserte brukere via en sentral valideringstjenestefor BankID. PKI-utvalget anbefaler at offentlige personsertifikater bør ha identifikatorersom tildeles av en sertifikatutsteder, og som er unike for hver person hos sertifikatutstederen. Slike identifikatorer (tall og/eller bokstaver) bør være forskjellige fra personens fødselsnummer, dog slik at det må finnes en kopling hos utstederen mellom det unike nummeret og fødselsnummeret. De forvaltningsenhetene som har tjenstlige behov, kan få tilgang til sertifikateiers fødselsnummer via sertifikatutsteder. FNH og Sparebankforeningen kan på dette punkt slutte seg til utvalgets vurderinger. BankID vil inntil videre ikke inneholde fødselsnummer (grunnet personvernmessige betraktninger), men vil som

være tilstrekkelig for sertifikatmottakere som trenger fødselsnummer som identifikator i sitt arbeid, for eksempel trygdekontorer og ligningsmyndighetene, å få tilgang til fødselsnummeret validerings.Utvalget antyder at i anvendelser der en offentlig virksomhet har begrunnet behov for direkte bruk av fødselsnummer i sertifikatet (dette gjelder f.eks. trygdeetaten) bør dette tillates. Som nevnt vil BankID inntil videre ikke innholde fødselsnummer, men det vil etter vår vurderingved forespørsel til utstederbanken, dvs. i praksistjenesten 

Utvalget ser ikke behov for å ha fullt navni sertifikatet i henhold til Folkeregisteret, så fremt sertifikatutsteder kontrollerer dette før utstedelse. Sertifikatet vil inneholde personens vanlig brukte navn. Vi støtter her utvalgets syn som er i overensstemmelse med de vurderinger som FNH og Sparebankforeningen har gjort når det gjelder BankID. På den annen side stiller vi spørsmålstegn ved PKI-utvalgets antydning om at utstederen gjennom oppslag i Folkeregisteret skal verifisere at det er den rette personen som skal få sertifikatet. Bankene vil i tråd med forskrift av 15.06.2001 om krav til utsteder av kvalifiserte sertifikater § 7 legge til grunn den legitimasjons- og identitetskontroll som allerede er utført av banken på grunnlag av eksisterende kundeforhold, bl.a. basert på personlig fremmøte og fremlagt ”godkjent” legitimasjonsdokument, jf i den forbindelse Finansdepartementets forskrift 07.02.1994 om legitimasjonskontroll og tiltak mot hvitvasking av penger. Rutinemessige oppslag i Folkeregisteret vil etter vår mening fordyre og unødig komplisere kontrollprosedyrene, men kan selvsagt ikke utelukkes som en ekstraordinær kontrollsjekk av oppgitt navn ved førstegangsetablering av et kundeforhold. 

Utvalget anbefaler at virksomhetssertifikaterinneholder organisasjonsnummer fra Enhetsregisteret i Brønnøysund som unik identifikator. Vi slutter oss til dette utgangspunktet, men tillater oss å peke på at man i visse sammenhenger har behov for å kunne identifisere innehaveren av et enkeltmannsforetak med fødselsnummer.

I siste hovedavsnitt i utredningens pkt 2.2.1 skriver PKI-utvalget at innholdet i sertifikater kan variere etter sertifikattype, og det kan variere med sertifikatutsteder. Alle steder et sertifikat skal behandles automatisk, må det etter utvalgets oppfatning finnes klare regler for hvordan innholdet i hvert aktuelt informasjonselement skal kunne fortolkes og behandles. Dette vil etter utvalgets syn skape utfordringer når forvaltningen mottar sertifikater utstedt av ”ukjente utstedere, f.eks. fra utlandet”. Vi forstår det slik at oppgaven med å utarbeide slike (klare) regler i utgangspunktet må påhvile sertifikatutstederen. I den grad forvaltningen stiller særskilte krav til informasjonsinnholdet og de enkelte elementer i et sertifikat som skal benyttes i eller mot forvaltningen, vil ansvaret for regelutformingen måtte bli gjenstand for et samarbeid mellom forvaltningen og sertifikatutsteder(ne)slik at man kan unngå tvil om forståelsen av informasjonselementene. FNH og Sparebankforeningen vil for BankID’s del allerede her signalisere ønske om en dialog og samarbeid om utformingen av informasjonselementer og regelforståelsen.   

I forhold til utenlandske sertifikatutstedere og sertifikatersom anvendes grenseoverskridende i Norge, nøyer vi oss her med det selvsagte at disse må bli underlagt de samme konkurranse- og rammevilkår og stilt overfor samme krav fra forvaltningen som aktører etablert i Norge.

Til pkt. 2.2.2, jf kap 8, Sikkerhetsnivåer

PKI-utvalget anbefaler i utredningen tre grunnleggende sikkerhetsnivåer (1-3) for digitale signaturer/PKI-løsninger. Vi viser i den forbindelse spesielt til utvalgets redegjørelse i pkt. 8.2.5.  

Det er videre etter vår vurdering vanskelig å drøfte og ta stilling til konkret bruk av sikkerhetsnivåene og forholdet mellom de enkelte nivåene da det ikke er definert hva det enkelte nivå skal brukes til. Vi legge til grunn at dette vil bli nærmere avklart gjennom forvaltningens arbeid med en eventuell felles sertifikatpolicy for henholdsvis nivå 3 og nivå 2.

De tre angitte sikkerhetsnivåene virker etter vår vurdering fornuftige. Til nivåene 2 og 3 vil vi knytte følgende kommentarer: 

Nivå 3: Dette sikkerhetsnivået tilsvarer kravene til kvalifisert sertifikat med mulighet for generering av kvalifiserte signaturer. BankID på chip vil være et sertifikat av høy kvalitet og høyt sikkerhetsnivå, og banknæringen vil sannsynligvis tilstrebe å oppnå nivå 3 med BankID. Vi anser det imidlertid hensiktsmessig og fornuftlig å se an utviklingen før det fattes et endelig vedtak om å utstede BankID som et kvalifisert sertifikat. Ett av usikkerhetsmomentene i denne forbindelse er at det ennå ikke foreligger entydige sikkerhetskrav for kvalifiserte sertifikater, jf det pågående internasjonale standardiseringsarbeid på området.·       

Nivå 2: At dette i utgangspunktet har svakere sikkerhet enn nivå 3 synes riktig. Etter vår mening er nivå 2 for altomfattende, jfbl.a. utvalgets omtale av nivå 2 under pkt. 8.2.5: ”Her stilles samme krav som til sertifikater på høyeste nivå, bortsett fra at private nøkler ikke behøver å beskyttes ved hjelp av et sikkert signaturfremstillingssystem. I praksis kan dette bety at nøklene kan lagres kryptert i PC-en, på en server eller på en diskett. ….” For å oppnå en tilfredsstillende beskyttelse av private nøkler bør det etter vår vurdering stilles visse krav til signaturfremstillingssystemer også for nivå 2, dog (selvsagt) med en lavere sikkerhetsgrad enn ”sikkert signaturfremstillingssystem” (jflov om elektronisk signatur §§ 8 og 9).·          

Når det gjelder kravene til identitetskontroll og personlig oppmøte ved bruk av sikkerhetsnivåene 2 og 3 viser vi til den nylig vedtatte forskrift om krav til utsteder av kvalifiserte sertifikater og våre kommentarer foran til utredningens pkt 2.2.1.

PKI-utvalget anbefaler at det lages en felles sertifikatpolicyfor utstedelse av sertifikater på nivå 3 og en tilsvarende felles policy for nivå 2. En slik eventuell rammepolicy for hvert nivå, må etter vår mening gi utstederne av sertifikater en stor grad av individuell frihet. Rammepolicyen må ikke detaljregulere forhold som ikke har direkte betydning for den oppfattede tillit til sertifikatene eller som begrenser mulighetene for samtrafikk.

PKI-utvalget vil ikke anbefale obligatorisk bruk av felles sertifikatpolicy for hele forvaltningen. Standpunktet er nærmere begrunnet under punkt 8.3 i utredningen. Utvalget mener at de felles anbefalte sertifikatpolicyene vil kunne tas i bruk, på frivillig basis, av forvaltningen slik de er. Utvalget mener at disse sertifikatpolicyene, om ønskelig, også vil kunne fungere som rammepolicyer og benyttes som grunnlag for utvikling av spesifikke, og mer detaljerte, policyer for konkrete anvendelser i konkrete virksomheter. FNH og Sparebankforeningen er av den oppfatning at en felles obligatorisk sertifikatpolicy vil gi større forutsigbarhet og et bedre grunnlag for å koordinere sertifikatutstedernes tjenesteleveranser til de ulike deler av og nivåer i forvaltningen. For de forvaltningsvirksomheter som kan vise til særlige behov for andre løsninger enn det som følger av policyen, vil det etter vår vurdering kunne gjøres individuelle tilpasninger. Det klare utgangspunktet må likevel være at forvaltningens sertifikatpolicy må følges av alle forvaltningsorganer.

Til pkt 2.2.3, jfkap 9, Modeller for sertifikatutstedelse samt organisering av forvaltningens samordningsbehov 

PKI-utvalget anbefaler at det for utstedelse av sertifikater til enkeltpersoner inngås samarbeidsavtaler med minst to aktører i markedet som utsteder, eller vil utstede, sertifikater til enkeltpersoneri forbindelse med egen bruk av PKI. Utvalget antyder at slike aktører kan være bankene. Sertifikatene bør ha sikkerhet på minimum nivå 2, med overgang til nivå 3 når tilsvarende løsninger foreligger i markedet og er bredt tilgjengelige for enkeltpersoner. FNH og Sparebankforeningen vil for ordens skyld gi uttrykk for at bankene i denne forbindelse vil være en sentral samarbeidspartner for forvaltningen og selvsagt beredt til å utstede sertifikater til enkeltpersoner for bruk mot og i forvaltningen. Om forvaltningen sentralt skal inngå avtaler med FNH og Sparebankforeningen eller den enkelte bank når det gjelder BankID, er et spørsmål som vi får komme tilbake til, men det naturlige utgangspunktet kan for så vidt gjelder BankID være at banknæringen samlet, representert ved de to foreninger, inngår en rammeavtalemed ansvarlig departement om leveranser av tjenester.

Den enkelte bank vil selv fastsette priser for utstedelse av sertifikater til kunder og for bruk av tjenester for verifisering m.v. av sertifikater.Utvalget gir uttrykk for at kostnader ved bruk av slike sertifikater mot offentlig sektor i startfasen ikke bør belastes enkeltpersoner. FNH og Sparebankforeningen vil her advare mot at det legges offentligrettslige begrensninger på sertifikatutstedernes muligheter for prising av tjenesterpå dette området. At en utsteder i en startfase mener det kan være ønskelig av markedsmessige grunner å sikre volum og god spredning av sertifikater, må ikke skape presedens for at sertifikattjenester ikke skal kunne prissettes på linje med andre kommersielle tjenester. Om tjenester på dette området skal prissettes må tilligge den enkelt utsteder å vurdere.   

Utvalget anbefaler at det settes av egne midler til stimuleringfor bruk av digitale signaturer og PKI i forvaltningen. Slike midler bør tildeles prosjekter der digitale signaturer innføres i samsvar med vedtatte fellesordninger og anbefalte felles standarder. FNH og Sparebankforeningen støtter utvalgets anbefaling om at det bevilges egne stimuleringsmidler på dette området. Etter vår vurdering bør myndighetene gå inn med betydelige midlerfor å stimulere til oppbyggingen av en solid infrastruktur med tilhørende funksjoner som kan sikre et varig grunnlag for elektronisk samhandling mellom offentlig virksomhet og privatpersoner/næringsdrivende.  

Utvalget anbefaler at det med utgangspunkt i en permanent samordningsfunksjon for bruk av PKI i samhandling med og i forvaltningen, etableres et egetForum for digitale signaturer, med representanter fra forvaltningen, næringslivet og leverandørene, for å drøfte felles standarder på området PKI. FNH og Sparebankforeningen støtter et slikt initiativ.

Til pkt. 2.2.4, jf kap 10, Samtrafikk

Utvalget fremhever at PKI er teknologisk, juridisk og organisatorisk komplisert infrastruktur. Mange aktører deltar i infrastrukturen med ulike roller og ansvar. For brukere av infrastrukturen kan dette skape en del utfordringer. Det pekes bl.a. på at ønsket om å utnytte markedskreftene og konkurranseaspektet medfører krav til markedsaktørene om å kunne spille sammen slik at deres kunder ikke får begrenset valgfrihet når det gjelder hvem de kan kommunisere elektronisk med.

Utvalget lister opp en del problemstillinger og spørsmål som sertifikatmottaker må forholde seg til i forbindelse med ukjente sertifikatutstedere, sikkerhetsforhold, ansvar, valg av teknologi osv. I den forbindelse lanserer utvalget ulike modeller for samtrafikk. FNH og Sparebankforeningen er enig i at slike usikkerhetsfaktorer må ryddes av veien for å kunne danne en sikker og funksjonell PKI, og mener at utfordringene bør kunne utredes og løses i et samarbeid med aktørene i markedet på et frivillig avtalemessig grunnlag.

FNH og Sparebankforeningen er opptatt av at BankID skal kunne benyttes i mange tjenester som er nyttige for kundene, inkludert offentlige tjenester til publikum. I dette perspektivet er det både naturlig og nødvendig med et direkte samarbeid med forvaltningen.
 

Vi har allerede fra starten av utviklingen av BankID lagt betydelig vekt på å imøtekomme markedets behov for PKI-baserte tjenester. Banknæringen har derfor basert seg på tilrettelegging for alle-til-alle kommunikasjon, etter de samme prinsipper vi allerede har for samordnet betalingsformidling i Norge. Dette innebærer at en virksomhet (for eksempel en nettbutikk) med BankID utstedt av sin bank, kan samhandle sikkert med alle personkunder som er innehavere av BankID utstedt av andre banker.

Vi stiller oss også positive til samtrafikk med andre aktørerog til etablering av samtrafikk­tjenester. Det understrekes imidlertid at organisering og deltakelse i samtrafikk må baseres på frivillighet og på et fungerende marked. Bankene vil fra sak til sak og fra tjeneste til tjeneste vurdere å delta.

FNH og Sparebankforeningen er på den annen side meget skeptiske til kryssertifiseringsordninger. Kryssertifisering er ikke bare et spørsmål om valg av teknologi og funksjonelle løsninger, men reiser en rekke fundamentale problemstillingerav forretningsmessig og juridisk karakter herunder av ansvarsmessig art. Slike ordninger er ikke bare et nasjonalt anliggende, men har en internasjonal dimensjonmed konsekvenser som det pr i dag ikke er mulig å få oversikt over eller beregne omfanget av. Etter vår mening må sertifikatbrukerne selv vurdere hvilke sertifikater man har tillit til og således vil kunne stole på. For eksempel må den enkelte bank på selvstendig grunnlag, bl.a. basert på egne erfaringer samt markeds- og forretningsmessige forhold, kunne ta stilling til hvilke sertifikater man skal akseptere som kundens tilgang til banktjenester i tråd med bank- og finanslovgivningen.

En alternativ samtrafikkløsning som etter vår mening fortjener en nærmere utredning og vurdering i lys av norske forhold, er en ordning i Australia der myndighetene etter det vi har fått opplyst gir sertifikattyper et offentlig ”godkjennelsesstempel” basert på fastsatte kriterier (”Gatekeeper”).  

Til pkt. 2.2.5, jf kap 11, Regler for bruk av digitale signaturer i forvaltningen

FNH og Sparebankforeningen støtter PKI-utvalgets anbefaling om at regler om bruk av digitale signaturer i forvaltningen vedtas i form av forskrifter med hjemmel i forvaltningsloven og i lov om elektronisk signatur. Utvalgets fremlagte skisse til regelverk gir ikke grunnlag for kommentarer fra vår side nå. Eventuelle kommentarer vil vi komme tilbake til når et utkast til forskrifter blir sendt på ordinær høring. 

Til pkt. 2.2.6, jf kap 12, Elektroniske identitetskort

Utvalget vil ikke anbefale at forvaltningen skal gå i gang med egen etablering av en offentlig ordning for utstedelse av elektroniske ID-kort nå. Utvalget mener at ut fra samfunnsmessige og økonomiske betraktninger, og for å unngå dobbeltarbeid, bør forvaltningen løpende vurdere å ta i bruk ID-kort som kommersielle aktører i markedet tilbyr. Det vises bl.a. til anbefalingen om at det for utstedelse av sertifikater til enkeltpersoner inngås samarbeidsavtaler med minst to aktører i markedet som utsteder, eller vil utstede, sertifikater til enkeltpersoner i forbindelse med egen bruk av PKI. Utvalget gir her uttrykk for at en slik aktør kan være bankene. 

FNH og Sparebankforeningen er positiv til å diskutere modeller for samarbeid med det offentlige om utbredelse og bruk av sertifikater i Norge. Vi mener BankID vil kunne ha en høy verdi for offentlig forvaltning, herunder som elektronisk ID-kort. Bankenes felles satsning på BankID kan sees på som en videreføring av bankenes posisjon som nøytral partmed høy tillit i markedet. Bankenes base av kunder som benytter nettbanktjenester, vil være blant de første som tar i bruk BankID. Denne kundegruppen utgjør en betydelig andel av alle nordmenn som har tatt i bruk nettbaserte tjenester, og er sannsynligvis det markedssegment som raskest vil adoptere nye tjenester. En offentlig etat som sertifikatbruker, behøver kun å inngå avtale med sin egen bankforbindelsefor å sikre at alle kunder med BankID fra andre banker, kan benytte BankID i forbindelse med bruk av etatens tjenester. Bankforbindelsen vil også kunne tilby betalingstjenester sikret med BankID.
 

Til pkt. 2.2.8 Forslag til videre utredningsarbeid

FNH og Sparebankforeningen støtter videre utredningsarbeider i tråd med utvalgets anbefalinger. I den grad nye utredninger omhandler spørsmål vedrørende elektronisk kommunikasjon mot forvaltningen, vil vi anse det som ønskelig at banknæringen blir representert.

Med vennlig hilsen

For For
                                                                           

Finansnæringens ServicekontorSparebankforeningens Servicekontor
                                  

Tore A. HauglieGunnar Harstad
                                                         

AvdelingsdirektørAdvokat
                                                       

For For
                                                                           

BankID-SamarbeidetBankenes Standardiseringskontor
                                                 

Grete Sørensen Knut Kvalheim