Storlek: px
Starta visningen från sidan:

Download "http://iwww.rsv.se:82/samset/myndigh_anv.html"

Transkript

1 Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare ställs inför. Innehåll 1 Bakgrund 2 PKI, certifikat och digitala signaturer 3 Statskontorets upphandling 4 Riktlinjerna 5 Certifikatutfärdare 6 Certifikatinnehavare 7 Myndigheter 8 Rättsfrågor 1 Bakgrund Denna vägledning är avsedd att underlätta förståelsen av de Riktlinjer för myndigheternas användning av elektroniska signaturer och certifikattjänster m.m. som tagits fram i SAMSET-projektet och samtidigt peka på ett antal olika frågeställningar som en myndighet kan ställas inför när man avser att erbjuda sina kunder interaktiva elektroniska tjänster över Internet. Vägledningen innehåller dock inte svar på de tekniska och myndighetsspecifika frågor som också hör till Internetprojekt. Regeringsbeslut och uppdraget Den 2 mars 2000 uppdrog regeringen åt Riksskatteverket (RSV) att, i samverkan med Riksförsäkringsverket (RFV), Patent- och registreringsverket (PRV) och Statskontoret, utreda och lämna förslag om hur ansvaret för utfärdande och administration av certifikat och elektroniska signaturer bör organiseras i statsförvaltningen. RSV har bedrivit arbetet tillsammans med de samverkande myndigheterna i ett projekt med namnet SAMSET (Samhällets elektroniska tjänster). RSV avlämnade den 26 september 2000 till regeringen projektets rapport "Hantering av certifikat och elektroniska signaturer inom statsförvaltningen". I rapporten föreslogs bl.a. att regeringen skulle uppdra åt RSV att ha ett sammanhållande ansvar för hanteringen av certifikat och elektroniska signaturer inom statsförvaltningen. Nytt uppdrag Genom beslut den 21 december 2000 (Ju2000/4939) gav återigen regeringen RSV uppdraget att "under ett inledningsskede ha ett sammanhållande ansvar för administrationen av certifikat för elektronisk identifiering och elektroniska signaturer inom statsförvaltningen". Även fortsättningsvis skulle detta arbete genomföras i samverkan med RFV, PRV och Statskontoret.

2 Sida 2 av 38 Av beslutet framgår att det ingår i uppdraget att: utarbeta allmänna riktlinjer och gemensamma rutiner för certifikathanteringen inom statsförvaltningen, samordna statsförvaltningens krav och behov inför upphandling och avrop av certifikat och tillhörande tjänster för elektronisk identifiering och elektroniska signaturer, samordna de myndighetsgemensamma tjänster som krävs för en väl fungerande infrastruktur för användningen av elektroniska signaturer i statlig verksamhet, svara för information och vägledning till myndigheterna i dessa frågor, senast den 1 mars 2003 redovisa en utvärdering av verksamheten. Arbetet i SAMSET syftar till att en medborgare ska kunna använda samma elektroniska identitet och samma tekniska hjälpmedel för att kommunicera med olika myndigheter. Med medborgare menas i detta sammanhang fysiska personer i deras egenskap av privatpersoner eller företrädare för juridiska personer, oberoende av om de är svenska medborgare eller inte. För att sådana funktioner ska bli möjliga behövs en helt ny infrastruktur - en s.k. Public Key Infrastructure (PKI) - där certifikat, signaturer och anknytande programvaror tekniskt och administrativt fungerar på ett enhetligt sätt och på ett så säkert sätt att de kan godtas i skilda sammanhang, både av medborgare och av myndigheter. Dessutom behövs gemensamma regler, inte bara för de frågor som rör själva infrastrukturen utan också för den hantering av elektroniska handlingar och elektroniska akter som de nya rutinerna avses skydda. En infrastruktur för elektronisk signering blir meningsfull endast om reglerna för dokumenthantering och förfarandet vid ärendehandläggning kan tillämpas på ett sätt som fungerar även i ITmiljö. RSV:s uppdrag att ha ett sammanhållande ansvar för administrationen av certifikat för elektronisk identifiering och elektroniska signaturer inom statsförvaltningen måste därför sättas in i sitt sammanhang. Hela den kedja av funktioner som krävs för en säker hantering av signaturer och elektroniska handlingar behöver samordnas. Ett snabbt införande förutsätter dessutom att de nya rutinerna kan tas i drift utan omfattande författningsändringar. För att göra detta möjligt behöver myndigheterna ta ställning till frågor av skiftande slag. RSV har lagt grunden för en sådan samordning genom att inom SAMSET-projektet utarbeta ett dokument: Riktlinjer för myndigheternas användning av elektroniska signaturer och certifikattjänster m.m., "Riktlinjerna". Riktlinjer, som finns publicerade i RSV:s meddelandeserie, är visserligen formulerade med samma språkdräkt som en författning, men de är inte bindande utan endast rådgivande. Riktlinjerna finns på RVS:s webbplats (http://www.rsv.se) under rubrikerna "Rättsinformation/Meddelanden" (RSV M 2001:35). Denna vägledning avses vara ett stöd för de myndigheter som vill utnyttja elektroniska signaturer och certifikattjänster i sina kontakter med medborgarna. Vägledningen kan också ses som en

3 Sida 3 av 38 sammanställning av de minimikrav som SAMSET rekommenderar för tillämpningar av detta slag. Målgrupp I RSV:s uppdrag ligger inte bara att utarbeta allmänna riktlinjer och gemensamma rutiner för certifikathanteringen inom statsförvaltningen utan också att svara för information och vägledning till myndigheterna i dessa frågor. Det har därför varit naturligt att målgruppen för sådan information och vägledning i första hand är statsförvaltningens myndigheter. Kommunala och landstingskommunala myndigheter har emellertid också möjlighet att anskaffa certifikat och certifikattjänster inom ramen för Statskontorets upphandling. (Information om vilka kommuner eller landsting som är avropsberättigade kan fås på Statkontorets webbplats, se under avsnitt 3 nedan) Riktlinjerna tar därför sikte på såväl medborgare och företag som statliga och kommunala myndigheter och de gäller oberoende av om en aktör i det enskilda fallet har signerat en handling, identifierat sig eller avser att lita på sådana uppgifter. För att därutöver ge resultatet av SAMSET:s arbete en mer allmän spridning, har även en informationsbroschyr tagits fram för den som är intresserad. En viktig del i användandet av elektroniska signaturer och certifikattjänster är hur myndigheter och medborgare ska anskaffa certifikat och därmed sammanhängande tjänster. Genom den upphandling som Statskontoret genomfört under hösten 2001, har ramavtal tecknats som möjliggör för myndigheterna att anskaffa certifikat m.m. genom avrop under dessa avtal. Se under avsnitt 3 nedan. 2 PKI, certifikat och digitala signaturer I detta avsnitt av vägledningen ges en kortfattad beskrivning av de grundläggande begreppen inom detta område. Mer ingående beskrivningar och förklaringar finns i avsnitt 4-7 i Riktlinjerna. I lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) används termen "elektronisk" signatur. För beskrivningen av tekniska rutiner i används här emellertid även den i standardiseringssammanhang använda termen "digital" signatur. Signaturer I takt med den utveckling som sker inom det informationstekniska området och i synnerhet på Internetområdet, är det naturligt att myndigheter inom stat, kommuner och landsting ser ökade möjligheter att använda Internet i sin kommunikation med medborgarna. Det gäller såväl sättet att i envägskommunikation informera om myndigheten och dess tjänster, som möjligheterna att skapa en dialog för ärendehandläggning m.m. mellan myndigheten och medborgaren. Det

4 Sida 4 av 38 är också naturligt att säkerhetsfrågorna vid en sådan dialog sätts i förgrunden. Parterna i dialogen behöver veta vem motparten är, skydda informationen mot obehörig insyn och förvanskning och skapa möjlighet - där så krävs av juridiska skäl - att åstadkomma kvalificerad elektronisk signatur. PKI Den teknik som används för att åstadkomma önskvärd säkerhet i bl.a. användningen av elektroniska signaturer består av olika beståndsdelar, vilka brukar samlas under begreppet PKI (Public Key Infrastructure). PKI är ett samlingsnamn för den infrastruktur, byggd på komponenter, gränssnitt, ansvar och förtroende, där man med hjälp av privata och publika (öppna) nycklar bygger upp funktioner för identifiering, signering och skydd mot obehörig insyn, allt baserat på krypteringsmetoder. Identifiering används för att med säkerhet veta vem som är avsändare eller mottagare. Signering används för att kunna upptäcka obehöriga ändringar av data och för att kunna binda data som representerar en text till en undertecknare på motsvarande sätt som i ett manuellt undertecknat dokument. Insynsskydd används för att skicka känsliga data via osäkra nät och ändå kunna bestämma vilka som kan ta del av informationen. PKI och kryptering PKI-tekniken bygger på asymmetrisk kryptering vilket innebär att krypteringsnycklarna förekommer i par. Det som krypteras med den ena nyckeln kan bara dekrypteras med den andra och vice versa. Den som ska signera data använder den nyckel som kallas "privat nyckel". Nyckelinnehavaren disponerar ensam sin privata nyckel och är därmed den ende som kan framställa sin digitala signatur. Vid den mer traditionella formen av kryptering, som kallas symmetrisk kryptering används samma nyckel både för kryptering och för dekryptering. Nyckeln måste då vara tillgänglig för både avsändare och mottagare. Den är alltså en "delad hemlighet", vilket utesluter en användning för kommunikation mellan många parter. Certifikat och nyckelbärare Som ovan nämnts bygger PKI på två olika krypteringsnycklar, en privat och en publik. Den privata nyckeln disponeras bara av ägaren/innehavaren medan den publika nyckeln kan spridas till alla andra intressenter, normalt inlagd i ett s.k. certifikat. Ett certifikat är en slags datafil som också innehåller uppgifter som unikt identifierar den person som förvarar den privata nyckeln (med personnummer, anställningsnummer, namn etc.). Certifikatet är "stämplat" av en certifikatutfärdare, i internationella sammanhang ofta kallad Certification Authority (CA). Certifikaten i en PKI är den elektroniska motsvarigheten till fysiska IDhandlingar (körkort, ID-kort etc.). På den fysiska ID-handlingen finns uppgifter som fastställer vilken person som avses (personnummer, namn etc.). För att ID-handlingen ska kunna användas för att visa personens identitet, finns foto och namnteckning knutna till namnet och personnumret. Den som vill kontrollera personens identitet kan jämföra

5 Sida 5 av 38 fotot med personens utseende och dessutom begära att personen skriver sin namnteckning och jämföra den med namnteckningen som återges på ID-handlingen. I överförd betydelse gäller motsvarande för ett certifikat. Att en person har tillgång till den privata nyckeln är det yttersta beviset för att de uppgifter som finns i certifikatet - den elektroniska ID-handlingen - avser den personen. Detta förutsätter att den privata nyckeln skyddas väl mot obehörig åtkomst. Ett vanligt sätt att skydda den privata nyckeln är att lagra den som en krypterad fil i den egna datorn eller på någon server. För att få tillgång till nyckeln måste innehavaren ange ett lösenord, sina s.k. aktiveringsdata. Detta är en lösning som brukar kallas mjuk nyckel eller mjukt certifikat. Ett bättre sätt att skydda den privata nyckeln kan vara att förvara den i ett chip på ett kort. Då behöver den privata nyckeln aldrig lämna chipet. Alla beräkningar där den privata nyckeln ingår görs av chipets processor i en miljö som är väl skyddad från alla kända former av insyn, vare sig det handlar om angrepp av virus, trojaner eller någon annan metod för att bereda sig obehörig åtkomst till privata nycklar. Denna lösning brukar ibland kallas hård nyckel eller hårt certifikat. De hårda certifikaten är idag dyrare och anses vara något mer komplicerade att införa än de mjuka. Eftersom den elektroniska signaturen står och faller med hur väl den privata nyckeln är skyddad, är det av stor vikt att välja en metod för förvaring av den privata nyckeln som är tillräckligt säker. Betrodd tredje part För att en PKI ska fungera måste alla inblandade parter ha tillit till hanteringen av nycklar och certifikat. Certifikatutfärdaren är den part som i första hand skapar tillit genom att stå för en säker hantering av certifikat och nycklar. Certifikatutfärdaren "låser" i certifikatet uppgifter om en person till en viss publik nyckel genom att förse certifikatet med sin digitala signatur. Certifikatutfärdare har en roll som "betrodd tredjepart" i en PKI. Förutom att utfärda certifikat har certifikatutfärdaren normalt också ansvar för att certifikat som inte är pålitliga snabbt spärras för användning. Varje certifikatutfärdare kan dock normalt endast ta ansvar för de certifikat som certifikatutfärdaren själv har utfärdat. Användare med certifikat från olika certifikatutfärdare, och som därmed tillhör olika PKI, kan därför inte automatiskt lita på varandra när det gäller identifiering, signering och insynsskydd. Olika lösningar finns på detta problem. En möjlighet är att användare och myndigheter i sina system skapar tillit till flera olika certifikatutfärdare. Andra lösningar är att certifikatutfärdarna skapar tillit mellan sig (korscertifiering) eller att alla certifikatutfärdare har tillit till och är betrodda av en överordnad certifikatutfärdare (Topp-CA). Registration Authorithy Själva identifieringen av individen och utlämnandet av certifikat och privata nycklar görs ofta av en Registreringstjänst, s.k. Registration Authority (RA), som är en annan juridisk person än certifikatutfärdaren och underställd utfärdaren. Certificate Practice Statement (CPS)

6 Sida 6 av 38 Certifikatpolicy och utfärdardeklaration, s.k. Certificate Practice Statement (CPS), är två typer av dokument i vilka en certifikatutfärdare ska ange vad omvärlden kan förvänta sig beträffande säkerheten i de tjänster som utfärdaren tillhandahåller. Av sådana dokument framgår allt från rutiner och krav på säkerhet vid framställning av nycklar och certifikat till hur certifikatutfärdaren skyddar sina egna privata nycklar för att signera certifikat och spärrlistor m.m. I dokumenten anges också krav på den som har tilldelats certifikat och den som litar på en digital signatur som stöds av ett certifikat (förlitande part). I varje certifikat som en utfärdare ställer ut anges vilken policy som gäller för certifikatet. Principen för digital signatur och signering av handlingar Den digitala signaturen för en datamängd - en elektronisk handling - framställs av en användare med hjälp av en programvara som räknar ut en kontrollsumma för datamängden. Denna kontrollsumma brukar kallas fingeravtryck eller hashsumma. Användaren krypterar kontrollsumman med sin privata nyckel och framställer på så sätt ett dataobjekt som är unikt knutet till både data som representerar texten i den elektroniska handlingen och användaren. Kontrollsumman fungerar som ett "lås" på datamängden och därmed innehållet i det elektroniska dokumentet. Detta motsvarar det pappersark som fysiskt "låser samman" en text och en underskrift. När undertecknaren "förseglar" kontrollsumman genom att kryptera den med sin privata nyckel motsvarar detta en underskrift som skrivs på ett pappersark som håller samman text och underskrift. Den digitala signaturen kan också ha knutits till en myndighet eller ett företag, utan att någon fysisk person pekas ut (se nedan om "elektronisk stämpel"). Förändringar i efterhand av datamängden kommer att märkas genom att den kryptografiska kontrollsumman (signaturen) inte längre stämmer. Ett viktigt krav är därför att den metod (matematiska algoritm) som används för att räkna fram kontrollsumman är både "intolerant" och "säker"; intolerant så att varje förändring av dokumentet medför att man får en helt annan kontrollsumma, och säker så att det inte är praktiskt möjligt att räkna ut vilka förändringar i dokumentet som ger en oförändrad kontrollsumma. För att kontrollera signaturen använder en mottagare utfärdarens publika nyckel för att dekryptera den krypterade kontrollsumman och jämför sedan resultatet av dekrypteringen med den kontrollsumma han själv räknat fram utifrån dokumentet. Några begrepp Inom området för PKI och certifikathantering förkommer en mäng begrepp och termer. Här förklaras några. I Riktlinjerna, förklaras ytterligare ett antal begrepp. Undertecknare, utställare och elektronisk stämpel I signaturlagen används termen "undertecknare" med avseende på en fysisk person som behörigen innehar den privata nyckeln. När även juridiska personer innefattas som utfärdare används termen "utställare".

7 Sida 7 av 38 Då omfattas också en digital signatur som t.ex. en myndighet har tillfört en elektronisk handling utan att knyta signaturen till en viss fysisk person hos myndigheten. Det är vanligt att använda uttrycket "elektronisk stämpel" som beteckning på en digital signatur av en juridisk person. I de riktlinjer som behandlas i det följande definieras bl.a. dessa begrepp. Identifiering Om en myndighet med tillräcklig säkerhet kan identifiera de personer som kopplar upp sig mot myndighetens datasystem kan myndigheten elektroniskt lämna och ta emot uppgifter som rör en fysisk person eller det företag han eller hon representerar, även om uppgifterna är sekretessbelagda för andra eller de rättssäkerhetskrav som är förenade med tillämpningen annars förutsätter en säker identifiering av aktörerna. PKI-system kan öppna för helt nya tjänster och en smidigare dialog mellan medborgare och myndigheter eftersom de skapar förutsättningar för sådan identifiering. För att undvika att användaren blandar ihop signering och identifiering så att han eller hon t.ex. tror sig genomföra en identifiering men istället signerar en text har varje användare olika certifikat, nycklar och aktiveringsdata för signering respektive identifiering och insynsskydd. PKI-teknik nyttjas för att identifiera användare vid tillträde, s.k. stark autenticering (jfr definitionen av identifiering i Riktlinjerna). Detta innebär att måldatorn skickar ett slumptal till användaren som denne krypterar med sin privata nyckel för identifiering. Det krypterade slumptalet skickas tillbaka till måldatorn tillsammans med certifikatet för identifiering. Måldatorn använder användarens publika nyckel i certifikatet för att dekryptera det returnerade slumptalet. Resultatet jämförs med det ursprungliga slumptalet. Om dessa är lika kan måldatorn utgå från att användaren är den som anges i certifikatet. Motsvarande identifiering görs när användaren ska lämna uppgifter till myndigheten. Då kan dessutom krävas att de uppgifter som lämnas signeras av användaren. Identifiering av myndighet används för att medborgare ska kunna kontrollera till vilken myndighets webbtjänst som de har anslutit. Då används samma teknik som beskrivs ovan men i omvänd ordning. Medborgaren kan därefter i sin dator ta fram måldatorns certifikat. Detta sker genom att klicka på det "hänglås" som brukar visas i bildskärmens nedre högra hörn. Myndigheter kan på samma sätt kontrollera till vilken annan myndighets webbtjänst som anslutning har skett. Det är emellertid inte självklart för alla att förstå den information som ges eller vilket skydd som åstadkoms. Det är viktigt att rutinerna automatiseras och förenklas och att informationen om vilket skydd de ger blir lätttillgänglig. Oavvislighet Med oavvislighet (eng. nonrepudiation) menas att den som ställer ut ett dokument inte i efterhand ska kunna förneka detta. Exempelvis måste en myndighet som tar emot en ansökan i ett ärende kunna lita på att den elektroniska handlingen har signerats av den som framstår som utställare. Detsamma gäller för den som tar emot en elektronisk beställning, som kanske innebär att mottagaren ska specialtillverka en dyrbar komponent. Mottagaren behöver också kunna lita på att utställaren av handlingen har sänt den och inte kan neka till beställningen när komponenten väl är tillverkad och ska betalas eller neka till att han gjort den ansökan som lett fram till ett beslut som kanske vunnit laga kraft.

8 Sida 8 av 38 Oavvislighet kan även innebära att den som mottagit ett dokument inte i efterhand ska kunna neka till att ha tagit emot dokumentet; jfr delgivningslagen (1970:428). En person bör inte långt senare kunna överklaga ett myndighetsbeslut under påstående att han eller hon aldrig fått del av ett beslut som har mottagits elektroniskt. Om oavvisligheten ska ha någon mening är det naturligtvis viktigt att veta att informationen inte är manipulerad och att angiven utställare står bakom. Utöver detta kan det krävas att det går att säkert fastställa ett visst handlande hos parterna såsom sändning och mottagande. Metoder för detta kan vara att skapa signerade kvittenser, tidsstämplar och loggar. För att skapa tillit till sådana åtgärder, vid kommunikation mellan parter som inte känner varandra, kan det krävas en pålitlig tredje part i form av en elektronisk "notariattjänst". Affärsrelationer bygger på att parterna kan lita på varandra. Finns förtroende och tillit kan smidiga affärsprocesser skapas (jfr. t.ex. biltillverkare och de relationer dessa skapat med sina underleverantörer). Viktigare elektroniska affärer över Internet mellan parter som inte känner varandra ställer krav på säkra elektroniska tjänster som uppfyller kraven på oavvislighet. Kontakter mellan medborgare/företag och myndigheter styrs i många fall av lagar och kan ge rättsliga efterspel där oavvislighet blir en central fråga från bl.a. rättssäkerhetssynpunkt. Elektroniska signaturer och oavvislighet Termen oavvislighet förekommer inte i lag eller förordning. Den elektroniska signaturen måste sättas in i sitt sammanhang. Den kan fylla olika funktioner och ha anknytning till skilda regelverk i enlighet med vad som framgår av den signerade texten och det sammanhang där signering skett. Den som förlitar sig på signaturen kan från juridiska utgångspunkter aldrig vara hundraprocentigt säker på att signaturen är "oavvislig" och detta gäller oavsett hur säkert rutinerna har utformats. Den princip om fri bevisprövning som gäller i svensk rätt innebär nämligen att domaren/handläggaren är fri att bedöma värdet av den bevisning som förebringas. Först efter en dom som vunnit laga kraft - dvs. inte längre kan överklagas - är saken helt säker. I praktiken har detta lett till balanserade avvägningar mellan olika intressen och en tillämpning som fört med sig att den allmänna tilliten till pappersbaserade urkunder är hög. En elektronisk signatur kan utgöras av allt från en enkel "underskrift" av ett e-postmeddelande genom att skriva namnet på tangentbordet, till digitala signaturer inom ramen för avancerade kryptografiska PKIbaserade tjänster. I det första fallet ger signaturen inte skydd mot en ändring av den text som signaturen knutits till. Den kopplar inte heller på ett säkert sätt samman undertecknaren med dokumentet. Både symmetriska och asymmetriska rutiner för signering ger emellertid ett sådant skydd eftersom sådana signaturer framställs genom att kryptera en datamängd som utgör ett s.k. fingeravtryck av data som representerar text (och bild etc.), se avsnittet Principen för digital signatur och signering av handlingar ovan. I asymmetriska system knyts signaturen till en viss person genom användning av privat nyckel och certifikat. Målet med användningen av elektroniska signaturer är att de ska fungera som elektroniska ersättare för traditionella namnteckningar,

9 Sida 9 av 38 medan elektroniska stämplar syftar till motsvarande skydd som tryckta logotyper m.m. på handlingar som har ställts ut av en myndighet eller ett företag, utan att handlingen knutits till en viss fysisk person som utställare; jfr t.ex. de pantbrev och gravationsbevis som Lantmäteriverket expedierar utan underskrifter. Elektroniska blanketter I den pappersbaserade världen använder myndigheter och företag blanketter för att få information från medborgare, företag och anställda på ett fullständigt och entydigt sätt. För att kunna lita på att text som skrivs på sådana blanketter verkligen härrör från angiven person krävs normalt en traditionell underskrift på blanketten. Vid övergång till elektroniska rutiner uppstår ett behov av elektroniska blanketter som på motsvarande sätt kan fånga upp elektroniskt inmatad information på ett fullständigt och entydigt sätt. I stället för den manuella underskriften bör en avancerad eller kvalificerad elektronisk signatur kunna godtas. Många företag erbjuder redan idag elektroniska blanketter för olika ändamål liksom verktyg för att skapa egna elektroniska blanketter som kan förses med elektroniska signaturer. 3 Statskontorets upphandling Statskontoret har upphandlat tjänster för elektronisk identifiering och signering, byggda på PKI-teknik (Public Key Infrastructure) och som använder sig av certifikat med öppna och privata nycklar. Upphandlingen omfattar ett antal leverantörer, som ska kunna tillhandahålla identifieringstjänster. I detta ingår också att kunna förse medborgare med certifikat. Upphandlingen har omfattat två delar: tjänster för elektronisk identifiering av medborgare m.m. tjänster för identifiering av de anställda i den egna organisationen m.m. Ramavtal har tecknats med leverantörer som kan tillhandahålla endera av eller båda delarna ovan. Ramavtal Följande ramavtal har tecknats: Medborgarcertifikat: Föreningssparbanken AB Nordea AB Svenska Handelsbanken AB Medborgarcertifikat och Tjänstecertifikat: Posten AB Telia AB Tjänstecertifikat m.m: Integris AB Medborgarcertifikat

10 Sida 10 av 38 Denna del omfattar tjänster och produkter för att utfärda certifikat så att medborgare och myndigheter kan styrka sin identitet i kommunikation med varandra över Internet. Medborgaren kan härigenom erbjudas en "personlig elektronisk identitet" (certifikat) i form av ett paket av tjänster och produkter. Motsvarande certifikat för myndigheter, dvs. server och stämpelcertifikat omfattas även av denna del av upphandlingen. Leverantören ska leverera fullständiga lösningar som Certifikatutfärdare samt vidareutveckla dessa i samarbete med myndigheter. Leverantören ska svara för att anpassa CA-lösningar till standarder och statliga krav så att Certifikatutfärdare från olika leverantörer på sikt samverkar till gemensamma lösningar för myndigheter och medborgare. Tjänstecertifikat Denna del omfattar tjänster och produkter för att upprätta säkra infrastrukturer (PKI) inom myndigheter. Leverantörens erbjudande omfattar fullständiga lösningar inklusive rollen som Certifikatutfärdare. Dessa lösningar ska kunna vidareutvecklas i samarbete med myndigheten. Myndigheten ska kunna erbjudas att hantera vissa CAtjänstemoduler själv medan leverantören svarar för övriga delar av CAtjänsten. Exempel på detta kan vara moduler för registrering av certifikat (RA) och moduler för hantering av spärrlistor. Leverantören ska även svara för att anpassa CA-lösningar till standarder och statliga krav så att Certifikatutfärdare från olika leverantörer på sikt samverkar till gemensamma lösningar för myndigheter och medborgare. Ett mål med upphandlingen är att göra det enkelt för myndigheter att förse sina medarbetare med verktyg för att identifiera sig samt skapa signaturer och skydda meddelanden från olovlig insyn i den elektroniska världen och dessutom för att möjliggöra exempelvis generell inloggning (single signon) och distansarbete genom tillgång till system och känslig information via Internet. Övrigt Ramavtalen gäller t.o.m. den 30 april 2003 med möjlighet till förlängning upp till 12 månader. Generell inloggning (single signon) Tillgång vid distansabete till system och känslig information via Internet Ramavtalen, med uppgifter om bl.a. kontaktpersoner finns tillgängliga på Statskontorets webbplats. Här finns också information om vilka kommuner och landsting som är avropsberättigade. 4 Riktlinjerna

11 Sida 11 av 38 Regeringsuppdraget och Statskontorets upphandling innebär att förutsättningar skapas för en infrastruktur där medborgare ska kunna kommunicera med olika myndigheter med en och samma elektroniska identitet. Även myndigheterna och deras handläggare ska kunna kommunicera - inbördes och med medborgare - på samma enhetliga och säkra sätt. Av betydelse för denna utveckling är att medborgare, handläggare och myndigheter utrustas med certifikat och anknytande funktioner som är anpassade för en sådan infrastruktur, och att infrastruktur och regler samordnas (se nedan) så att varken tekniska eller rättsliga hinder tillåts motverka den utveckling som regeringsuppdraget syftar till. Tillgången till certifikat och fungerande tjänster för spärr och spärrkontroll m.m. säkerställs genom Statskontorets upphandling. Upphandlingen innefattar en viss samordning genom de krav som Statskontoret, i samråd med SAMSET, har ställt på leverantörerna i samband med upphandlingen. Det är emellertid inte tillräckligt att samordna tekniska rutiner och villkor som certifikatutfärdare tillämpar för att tillhandahålla produkter och tjänster för identifiering, signering och insynsskydd. Närmare preciseringar behövs om dessa funktioner ska ensas så att medborgarna känner igen sig från myndighet till myndighet och - utan omfattande handledning - kan förstå funktionernas innebörd och vilken tillit de kan ha till signaturer och certifikat m.m. Detsamma gäller för handläggare vid myndigheter som inför PKI-baserade rutiner. En infrastruktur för elektroniska signaturer och certifikattjänster behöver dessutom tydliga spelregler för utväxlingen av information. Även i denna del har upphandlingen använts för att skapa regler genom villkor i ramavtal som myndigheterna kommer att avropa. Ett mål bör emellertid vara att, på sett så konkret plan som möjligt, göra rutinerna enhetliga, bl.a. när det gäller de gränssnitt som möter medborgare och handläggare. I de olika avsnitten nedan finns hänvisningar till relevanta avsnitt i Riktlinjerna. Det samordnade området För att tillgodose behovet av enhetliga rutiner och tydliga spelregler har det område som samordnas avgränsats från olika utgångspunkter. Av Riktlinjerna 2.2 framgår att det samordnade området avgränsats till rutiner och säkerhetskrav i PKI-system på myndighetsområdet för att utfärda och använda certifikat och tillhörande nycklar, tillhandahålla tjänster för spärr av certifikat och kontroll av spärr, och bedöma vilka lösningar som tillgodoser myndigheternas säkerhetskrav. Syftet är att skapa och upprätthålla en hög nivå på informationssäkerheten och att möjliggöra säkra rutiner för dokumentoch ärendehantering. Dessa rutiner och säkerhetskrav har vidare avgränsats till produkter och tjänster för identifiering av fysiska personer, identifiering av myndigheter som tillhandahåller elektroniska tjänster, signering och verifiering av signerade elektroniska handlingar, stämpling och verifiering av stämplade elektroniska handlingar, samt kryptering för insynsskydd och dekryptering av insynsskyddade data (Riktlinjerna 2.3).

12 Sida 12 av 38 För att kunna ge konkret vägledning i enskilda tillämpningar har Riktlinjerna dessutom avgränsats med utgångspunkt från den användning av PKI-system som samordnas. Denna avgränsning beskrivs från olika utgångspunkter, från medborgarnas perspektiv (Riktlinjerna 2.4), utifrån myndigheternas behov (Riktlinjerna 2.5), med sikte på de typer av certifikat som samordnas (Riktlinjerna 2.6 och 2.7). Det kan inte förväntas att alla de funktioner i PKI-system som beskrivs i Riktlinjerna och denna vägledning kommer att tas i bruk för varje webbtjänst på myndighetsområdet eller av varje myndighet. De funktioner rutinerna fyller har emellertid ett så nära samband, både tekniskt och juridiskt, att det är av värde att få en samlad presentation av dem. Till det område som behöver samordnas hör också rättsfrågor med anknytning till PKI, samt förfaranderegler som rör formen för elektronisk ärende- och dokumenthantering. En enhetlig syn på dessa frågor är enligt SAMSET:s bedömning av avgörande betydelse för att PKIbaserade tjänster ska kunna få spridning på myndighetsområdet och för att signerade och stämplade elektroniska handlingar ska åtnjuta allmän tillit. Ett definitivt klargörande av rättsläget förutsätter emellertid författningsändringar eller avgöranden i rättspraxis. Regeringen har aviserat en genomlysning av regelverken. Enligt SAMSET:s mening bör dock myndigheterna - parallellt med de aviserade åtgärderna - kunna delvis på egen hand begränsa den rättsliga osäkerheten. En preliminär genomlysning av vissa rättsfrågor har därför gjorts inom SAMSET med sikte på att finna samordnade tolkningar av vissa rättsfrågor som är gemensamma eller likartade från myndighet till myndighet. Dessa frågor, som tas upp i avsnitt 8 i denna vägledning, behandlas emellertid inte i Riktlinjerna. Riktlinjerna omfattar inte heller alla tekniska och administrativa frågor som har anknytning till PKI-system på myndighetsområdet. Som exempel kan nämnas att en myndighets samlade åtgärder för informationssäkerhet och åtgärder till skydd främst för rikets säkerhet inte omfattas. Detsamma gäller för många andra frågor som rör myndigheternas dokumenthantering och anknytande säkerhetsrutiner, t.ex. frågor om kvittenser för att skapa mottagningsbevis eller bevis om att handlingar har avsänts, tidsstämplar och loggar för att säkerställa att en handling har kommit in innan en frist löpt ut, identifiering av handläggare utan att denne signerar den interna hanteringen av privata nycklar för myndighetens elektroniska stämpel. Olika roller och avtalsrelationer För att undvika att frågor som hör till det samordnade området blandas samman har SAMSET strukturerat Riktlinjerna utifrån olika funktioner i ett PKI-system, funktioner som:

13 Sida 13 av 38 certifikatutfärdare, certifikatinnehavare, och myndighet. Riktlinjerna har dessutom disponerats utifrån de olika roller som dessa aktörer kan ha. Under skilda rubriker behandlas frågor som rör certifikatinnehavares roller som sökande, vid ansökan om certifikat, undertecknare av signerade elektroniska handlingar och användare i övrigt av sina certifikat och privata nycklar, förlitande part vid användning av andras certifikat, t.ex. för att verifiera en elektronisk handling som någon annan har signerat. PKI-system på myndighetsområdet för också med sig nya avtalsrelationer. Statskontoret har slutit ramavtal med ramavtalsleverantörer om PKItjänster för myndighetsområdet (se avsnitt 3 ovan och Riktlinjerna 3.). Myndigheter som inför PKI kan avropa certifikat och anknytande tjänster från ramavtalsleverantörer. Det betyder att myndigheter sluter avtal om certifikattjänster i enlighet med villkoren i ramavtalen. Det kan vara fråga om myndighetens egna certifikat (webbservercertifikat och certifikat för myndighetens elektroniska stämpel) eller certifikat för handläggare (tjänstecertifikat). I syfte att förenkla genom elektroniska rutiner kan myndigheten också avropa certifikat åt medborgare (medborgarcertifikat) för att de ska kunna kommunicera elektroniskt med myndigheten. Myndigheterna kan vidare avropa tjänster för att verifiera elektroniska signaturer och elektroniska stämplar samt hantera identifiering och insynsskydd. När en myndighet avropar och betalar certifikat som tilldelas handläggare (tjänstecertifikat) eller medborgare (medborgarcertifikat) sluter handläggarna och medborgarna avtal med ramavtalsleverantören. Det är samma typ av avtal som leverantören, dvs. certifikatutfärdaren, sluter med övriga personer som utfärdaren förser med certifikat. Högt ställda krav från rättssäkerhetssynpunkt Ett av huvudsyftena med PKI-system på myndighetsområdet är att införa tillräckligt säkra rutiner för elektronisk kommunikation med medborgare och mellan myndigheter. I traditionell miljö skyddar bestämmelserna om brott rörande urkunder mot bl.a. förfalskningar, osanna utsagor i urkunder och mot att urkunder upprättas för skens skull rörande rättshandlingar (14 kap. 1 och 15 kap brottsbalken). Myndigheter och domstolar ges också möjlighet att tillämpa särskilda rutiner som ger skydd mot manipulationer. Myndigheten får nämligen begära att ett meddelande som kommer in i form av ett telefax eller annars så att det saknar avsändarens underskrift i original bekräftas av avsändaren genom en i original undertecknad handling (10 förvaltningslagen). Det kan vidare utgöra grund för resning om en skriftlig handling som åberopats till bevis vid en rättslig prövning varit oäkta eller osann (jfr 58 kap. 1 första stycket 2 rättegångsbalken). Beviljas resning innebär det att målet prövas på nytt.

14 Sida 14 av 38 Detta skydd för traditionella handlingar är av betydelse från rättssäkerhetssynpunkt. På motsvarande sätt skyddar bestämmelserna om brott mot posthemligheten, intrång i förvar och olaga intrång (4 kap. brottsbalken) mot att den enskildes integritet kränks genom att någon obehörigen bereder sig tillgång till handlingar som en myndighet förvarar eller som är under befordran från eller till en myndighet. Vid en tillämpning av dessa bestämmelser i IT-miljö är rättsläget delvis oklart. Det är angeläget - från rättssäkerhetssynpunkt och för den offentliga förvaltningens effektivitet - att medborgare, företag och det allmänna inte drabbas av rättsförluster till följd av brister i informationssäkerheten. Riktlinjerna förutsätter därför att myndigheternas användning av elektroniska signaturer, certifikattjänster och tekniska skydd mot obehörig insyn uppfyller höga tekniska och administrativa krav. Högre säkerhet och kontroll än vad som brukar krävas i traditionell pappersmiljö bör i viss mån kunna kompensera bristerna i IT-anpassningen av de ovan nämnda bestämmelserna. Medborgarnas användning av PKI-system mot myndigheter Genom beskrivningen i Riktlinjerna av de PKI-baserade funktionerna och hur medborgare och myndigheter ska använda dem (Riktlinjerna ) blir det tydligt vilket skydd de nya rutinerna kan ge från tekniska och administrativa utgångspunkter. Beskrivningen tydliggör också behovet av anpassning till regler och rättsprinciper som har kommit till med sikte på traditionell pappersbaserad ärendehandläggning. I det följande redogörs för de funktioner som den PKI-baserade infrastrukturen ska kunna stödja enligt Riktlinjerna. Signering och verifiering av signatur En medborgare som använder en PKI-baserad tjänst för signering förser en elektronisk handling med motsvarande skydd mot förfalskning eller förnekande av signatur som när en traditionell handling undertecknas och därefter ges in till en myndighet (Riktlinjerna 2.4.3). Dessa rutiner bör uppfylla vissa krav för att godtas. I lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) används tre olika begrepp för elektroniska motsvarigheter till underskrifter; elektronisk signatur, avancerad elektronisk signatur, och kvalificerad elektronisk signatur. Riktlinjerna omfattar både avancerade och kvalificerade elektroniska signaturer. En avancerad elektronisk signatur ska vara knuten uteslutande till en undertecknare, göra det möjligt att identifiera undertecknaren, vara skapad med hjälpmedel som endast undertecknaren kontrollerar och vara knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. (Se definitionerna i Riktlinjerna.) För en kvalificerad elektronisk signatur tillkommer att den måste skapas av en säker anordning för signaturframställning och baseras på ett kvalificerat certifikat, vilket bl.a. innebär att certifikatutfärdaren står under tillsyn enligt signaturlagen.

15 Sida 15 av 38 Det skydd som avancerade och kvalificerade elektroniska signaturer kan ge brukar i standardiseringssammanhang kallas "oavvislighet". I vissa sammanhang används denna term också för skydd som syftar till att en person inte ska kunna förneka att han eller hon har avsänt eller tagit emot en handling. (Se även avsnitt 2 ovan.) Rutinerna för att hantera nycklar och aktiveringsdata behöver vara enkla och tydliga så att medborgarna inte blandar ihop sina certifikat, nycklar och aktiveringsdata för signering med dem för elektronisk identifiering och kanske luras att signera i tron att identifiering sker. Samordningen bör därför, så långt det är möjligt, innefatta enhetliga och tydliga gränssnitt, utformade så att rutinerna inte förväxlas. Därigenom begränsas också risken för att en medborgare i efterhand felaktigt ska kunna hävda att han eller hon aldrig har avsett att signera utan trott sig aktivera den privata nyckeln för identifiering (Riktlinjerna 4.15, 5.7 och 7.2). Samordningen av medborgarnas användning av PKI-system på myndighetsområdet innefattar också verifiering av signatur (Riktlinjerna 2.4.4) eftersom myndigheterna avses kommunicera med medborgare genom att handläggare signerar och expedierar elektroniska handlingar med sin tjänsteidentitet. Riktlinjerna tar visserligen i huvudsak sikte på webbtjänster, men dessa tjänster bör i vart fall på sikt kompletteras med möjligheter att sända svar till medborgare, antingen så att de får signerad och insynsskyddad e-post som medborgaren kan verifiera eller så att medborgaren får besked via e-post - jfr en avi om en försändelse - att en handling finns att hämta i myndighetens webb-tjänst. Medborgaren bör härvid kunna verifiera att den elektroniska handlingen är utställd av den handläggare vid myndigheten som angetts som undertecknare. Identifiering Det samordnade området för identifiering har avgränsats utifrån de funktioner som planeras i anknytning till myndigheternas webbtjänster. Från medborgarens perspektiv innebär detta att tjänster för identifiering kan delas in i olika kategorier: identifiering vid tillträde, identifiering vid uppgiftslämnande, och identifiering av myndighet. Identifiering vid tillträde sker för att medborgaren ska kunna få tillgång till sekretessbelagda uppgifter via Internet utan att behöva riskera att andra som uppgifterna inte får lämnas till kommer åt dem genom att felaktigt utge sig för att vara medborgaren (Riktlinjerna a). Identifiering vid uppgiftslämnande ska i stället skydda mot att någon lämnar uppgifter till en myndighet under sken av att vara medborgaren (Riktlinjerna b). Den tredje formen av identifiering - identifiering av myndighet - gör det möjligt för medborgaren att kontrollera att han verkligen har anslutit till angiven myndighets webbserver. För att inte utesluta myndighetstjänster, som av något skäl inte bygger på webbgränssnitt har uttrycket "myndighetens elektroniska tjänst" använts i Riktlinjerna (Se även avsnitt 4 ovan).

16 Sida 16 av 38 På samma sätt som vid signering bör medborgarens rutiner för identifiering uppfylla vissa krav för att godtas. Den privata nyckeln för identifiering bör vara knuten uteslutande till en fysisk person och ha använts i en process som gör det möjligt att identifiera personen genom att verifiera vissa elektroniska data (det signerade slumptalet, se avsnitt 2 ovan). Dessa data ska ha skapats med en nyckel som endast medborgaren kontrollerar och ha knutits till andra elektroniska data på ett sådant sätt att förvanskningar av dessa kan upptäckas. Det bör alltså krävas funktioner med motsvarande kvalitet som för avancerade elektroniska signaturer. (Se definition av identifiering i Riktlinjerna och jämför definitionen av avancerad elektronisk signatur.) Verifiering av elektronisk myndighetsstämpel, certifikatutfärdarens elektroniska stämpel på certifikat och spärrlistor samt kryptering för insynsskydd I många fall är det tillräckligt för en medborgare att veta att en elektronisk handling härrör från en viss myndighet. Då behövs inte någon uppgift om att handlingen har ställts ut av en viss handläggare - jfr underskrift - och den elektroniska handlingen kan ha producerats med automatik så att det inte går att på vanligt sätt peka ut någon fysisk person som undertecknare. Exempel på detta från pappersmiljön är automatiskt sammanställda och utskrivna gravationsbevis för fastigheter. I anknytning till PKI-system på myndighetsområdet är det främst av myndigheten preliminärt färdigställda blanketter i elektronisk form eller andra sammanställningar av uppgifter som en medborgare får del av via en webbtjänst eller via e-post. För att skydda sådana tillämpningar använder myndigheten tekniken för digital signatur så att den privata nyckeln och certifikatet är knutna till myndigheten, inte till en fysisk person. En sådan stämpel med den säkerhetsnivå som Riktlinjerna kräver kallas för avancerad elektronisk myndighetsstämpel. (Se definitionen i Riktlinjerna.) En medborgare som tar emot en elektronisk handling som försetts med en avancerad elektronisk myndighetsstämpel måste kunna verifiera att handlingen verkligen är utställd av den myndighet som har angetts som utställare, på motsvarande sätt som medborgaren verifierar en handling som en handläggare har försett med sin elektroniska signatur (Riktlinjerna 2.4.5). PKI-tekniken kan också användas för att hindra obehöriga från att ta del av elektroniska handlingar som medborgare eller myndigheter sänder (Riktlinjerna och 2.5.6). Det går något förenklat till så att medborgaren använder myndighetens publika nyckel för identifiering och insynsskydd, för att kryptera innehållet så att endast myndigheten, som har tillgång till motsvarande privata nyckel, kan göra innehållet läsbart. Detta förutsätter fungerande rutiner för att ge medborgare tillgång till myndigheters publika nycklar för kryptering. Visserligen hör detta till det samordnade området men det har inte klarlagts ännu om de PKI-system som byggs upp på myndighetsområdet kan stödja en sådan samordning. Motsvarande skydd behövs för elektroniska handlingar som medborgare tar emot från myndigheter och rutinernas säkerhetsnivå ska motsvara de beskrivna (avancerade) rutinerna för signering och identifiering för att omfattas av Riktlinjerna. Myndigheternas användning av PKI-system mot medborgarna

17 Sida 17 av 38 Myndigheter och medborgare använder till stor del de PKI-baserade funktionerna på samma sätt. Följande beskrivning tar därför sin utgångspunkt i vad som sagts i föregående avsnitt om medborgarnas PKI-användning. Signering och verifiering av signatur Även myndigheter ska kommunicera med medborgarna med signerade elektroniska handlingar. Det sker genom att handläggare använder sin tjänsteidentitet, med tillhörande certifikat, nycklar och aktiveringsdata, för att förse beslut, förelägganden och andra elektroniska handlingar med en elektronisk signatur. De elektroniska handlingarna skyddas därmed mot förfalskning eller förnekande av signatur på motsvarande sätt som en traditionellt undertecknad handling (Riktlinjerna 2.5.3). Myndigheternas rutiner för signering bör uppfylla samma krav som medborgarnas för att godtas i PKI-system på myndighetsområdet. Riktlinjerna omfattar därför endast signaturer som är avancerade eller kvalificerade, dvs. inte användande av exempelvis enbart PIN-koder. Handläggare vid myndigheter bör, så långt det är möjligt, förses med enhetliga och lättbegripliga gränssnitt för signering så att de inte förväxlar denna rutin med t.ex. åtgärder för inloggning eller annan identifiering (jfr Riktlinjerna 4.15, 5.7 och 7.2). Med handläggare menas anställda eller uppdragstagare som för myndighetens räkning kommunicerar elektroniskt med en medborgare eller en annan myndighet. (Se definitionen i Riktlinjerna.) Ett annat användningsområde för PKI-system på myndighetsområdet är den kontroll som myndigheterna ska kunna göra av att elektroniska handlingar som signerats av certifikatinnehavare är äkta (Riktlinjerna 2.5.4). Det behöver bl.a. övervägas vilka rutiner myndigheter bör införa för att verifiera inkomna signerade handlingar. Ska detta ske automatiskt eller manuellt och bör den som handlägger ärendet som handlingen hör till också ha hand om och ansvara för verifieringen? Det behöver vidare säkerställas att myndigheterna får tillgång till de certifikat och uppgifter om spärr som behövs för att genomföra verifieringen. En närmare samordning av dessa rutiner har emellertid inte varit möjlig nu. Varje myndighet behöver se till att det, i den omfattning myndighetens elektroniska tjänster kräver, kan verifieras om mottagna elektroniska handlingar verkligen härrör från den som framstår som undertecknare. Identifiering Identifiering Myndigheternas användning av tjänster för identifiering kan delas in i (Riktlinjerna och 2.5.2).: identifiering vid tillträde, identifiering vid uppgiftslämnande, och identifiering av (annan) myndighet. Dessa rutiner kan beskrivas som en spegelbild av medborgarnas användning av funktioner för identifiering. (Se avsnittet "Medborgarnas användning av PKI-system mot myndigheter" ovan.) Från myndighetens utgångspunkt är emellertid syftet med att kontrollera medborgarens identitet att hindra att uppgifter som omfattas av sekretess lämnas till

18 Sida 18 av 38 fel person. Det kan t.ex. vara fråga om uppgifter om medborgarens inkomstförhållanden som automatiskt läggs in i en blankett innan medborgaren, efter erforderliga ändringar eller tillägg, signerar och ger in den via myndighetens webbtjänst. För att inte utesluta myndighetstjänster som av något skäl inte bygger på webbgränssnitt har uttrycket "myndighetens elektroniska tjänst" använts i Riktlinjerna Syftet med den elektroniska identifieringen kan också vara att hindra felaktiga beslut eller andra misstag till följd av att någon lämnar uppgifter till myndigheten under sken av att vara den medborgare som anges som uppgiftslämnare. Om myndigheten finner att en första identifiering vid tillträde till myndighetens elektroniska tjänst inte ger tillräckligt skydd kan webbtjänsten utformas så att användaren måste identifiera sig på nytt i det moment där han eller hon lämnar uppgifterna. Användarens identitet kontrolleras därmed i det ögonblick när uppgifterna lämnas och denna kontroll registreras t.ex. i en logg som myndigheten skyddar genom ett tekniskt förfarande. (Detta kan jämföras med att upprätta ett intyg på papper om att vissa uppgifter har lämnats.) Är behovet av skydd större bör det krävas att medborgaren signerar uppgifterna. Användarna bör ha olika aktiveringsdata för sina privata nycklar så att de kan skilja en identifiering från en signering Identifiering av annan myndighet innebär att PKI-tekniken i stället används så att en myndighet ska kunna kontrollera till vilken annan myndighets webbtjänst som en handläggare eller en server eller någon annan enhet har anslutit (Riktlinjerna 2.5.2). Elektronisk myndighetsstämpel och kryptering för insynsskydd Som framgått ovan är det i många fall tillräckligt för en medborgare att veta att en elektronisk handling härrör från en viss myndighet. Elektroniska handlingar med ett sådant skydd - elektronisk myndighetsstämpel (Riktlinjerna 2.5.5) - kan antas komma att användas främst i anknytning till blanketter i elektronisk form eller andra sammanställningar av uppgifter som myndigheter tillhandahåller åt medborgare via en webbtjänst eller via e-post. Myndigheternas användning av PKI-teknik avser härvid en privat nyckel och ett certifikat som är knutet till myndigheten som juridisk person, inte till en viss handläggare vid myndigheten. Detta kan liknas vid hur myndigheter i pappersmiljö kan förse en handling med myndighetens logotyp tryckt i färg för att läsaren ska lita på att handlingen härrör från myndigheten. På motsvarande sätt får en medborgare som verifierar en handling som försetts med myndighetens elektroniska stämpel veta att handlingen är utställd av angiven myndighet, men inte vilken handläggare som svarar för handlingen. (Se definitionerna i Riktlinjerna av "utställare" och "undertecknare".) PKI-baserade tjänster på myndighetsområdet bör endast omfatta elektroniska myndighetsstämplar som uppfyller vissa krav. Sådana avancerade elektroniska myndighetsstämplar ska vara knutna uteslutande till en myndighet, göra det möjligt att identifiera myndigheten, vara skapad med hjälpmedel som endast myndigheten kontrollerar och vara knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. PKI-tekniken kan också - med motsvarande säkerhetskrav - användas

19 Sida 19 av 38 för att hindra obehöriga från att ta del av elektroniska handlingar som myndigheter tillhandahåller via webbtjänster eller sänder till medborgare (Riktlinjerna 2.5.7). Detta förutsätter fungerande rutiner för att ge myndigheterna tillgång till medborgarnas publika nycklar för kryptering, något som hör till det samordnade området. Certifikat Det behövs olika typer av certifikat för de funktioner som samordnas (Riktlinjerna 2.6). De kan utfärdas för fysiska personer som medborgarcertifikat eller tjänstecertifikat och för myndigheter som webbservercertifikat eller certifikat för myndighetens elektroniska stämpel. Medborgarcertifikaten används för att kommunicera elektroniskt med myndigheter i egenskap av privatperson eller som företrädare för en juridisk person medan tjänstecertifikaten används av anställda och uppdragstagare hos myndigheter för att kommunicera inom myndigheten, med andra myndigheter och med medborgare. Webbservercertifikaten används i webb-servrar för att medborgare och myndigheter ska kunna identifiera den webb-server - hos en myndighet - med vilken de kommunicerar och för att skydda kommunikationen mot obehörig insyn. Certifikat för myndighetens elektroniska stämpel används för att en myndighet ska kunna ställa ut elektroniska handlingar som är skyddade mot förfalskning och förnekande så att det kan verifieras att den elektroniska handlingen har ställts ut av myndigheten eller inom ramen för ett visst verksamhetsområde inom myndigheten. Stämpeln innebär, precis som en signatur, att förlitande part både kan identifiera utställaren och verifiera att den stämplade texten inte har ändrats. Det är viktigt att certifikaten har ett sådant format att de kan läsas i de system som myndigheterna och medborgarna använder och att certifikaten innehåller alla uppgifter som behövs för det samordnade området (Riktlinjerna 2.7). De regler som behövs i denna del har redan tagits fram inom ramen för Statskontorets upphandling. 5 Certifikatutfärdare I Riktlinjernas fjärde avsnitt behandlas regler och rutiner för certifikatutfärdare som omfattas av ramavtal med Statskontoret om elektronisk identifiering och signering eller som annars utfärdar certifikat som bör godtas av en myndighet (se Riktlinjerna 6.3). Certifikatutfärdarens uppgifter (CA-verksamheten) omfattar bl.a. att inrätta och tillhandahålla en PKI för myndighetsområdet, ställa ut certifikat och tillhandahålla funktioner för spärr och spärrkontroll, bevara och uppdatera de uppgifter som behövs för sådana ändamål och sluta avtal med berörda aktörer. Uppgiften som certifikatutfärdare är tekniskt komplicerad och förutsätter omfattande åtgärder för att säkerställa informationssäkerheten. De flesta enskilda myndigheter torde knappast från kostnadssynpunkt finna skäl för att själv driva sådan verksamhet. Istället avses trovärdiga aktörer med stöd av Statskontorets upphandling tilldelas denna roll. Den som utfärdar certifikat som myndigheterna godtar bör ha sådana regler och rutiner för CA-verksamheten att medborgare, myndigheter och andra kan ha fog för att lita på de certifikat och anknytande tjänster

20 Sida 20 av 38 som utfärdaren tillhandahåller (Riktlinjerna 4.2). Dessa regler och rutiner anges i policydokument och utfärdardeklarationer som utfärdarna har åtagit sig att följa. Medborgarcertifikat och tjänstecertifikat Certifikatutfärdarens rutiner för ansökan om medborgarcertifikat eller tjänstecertifikat omfattar bl.a. säkra förfaranden för identifiering av sökanden och kontroll av att lämnade uppgifter är riktiga och fullständiga samt krav på avtalsvillkor med den som tilldelas certifikat och information om dessa villkor m.m. (Se vidare Riktlinjerna ) Certifikatutfärdarens skyldighet att informera är dock begränsad så att utfärdaren bl.a. inte behöver röja uppgifter som skulle kunna äventyra informationssäkerheten. Frågan om säker identifiering av den som ansöker om och tilldelas ett medborgarcertifikat eller ett tjänstecertifikat (Riktlinjerna 4.8 och 4.9) är av central betydelse för bedömningen av vilken tillit en förlitande part bör kunna ha till certifikatet. Normalt ska certifikatutfärdaren identifiera sökanden vid ett personligt besök, på likvärdigt sätt som vid en ansökan om en traditionell SIS-godkänd ID-handling. Ett förenklad förfarande bör dock i vissa fall godtas för den som ansöker om ett medborgarcertifikat eller ett tjänstecertifikat. Om sökanden tidigare har identifierats vid personligt besök och tilldelats en elektronisk identitet för att få använda bank på Internet eller någon liknande tjänst för identifiering eller signering, för ekonomiskt eller rättsligt betydelsefulla mellanhavanden, bör denna identitet kunna användas också för att ansöka om medborgarcertifikat eller tjänstecertifikat och för att tilldelas sådant certifikat elektroniskt, t.ex. via en webbtjänst. En sådan rutin bör emellertid inte användas om den har spärrats eller om det annars kan antas att den inte identifierar sökanden på ett tillräckligt säkert sätt. Certifikatutfärdaren bör kontrollera att ansökan om certifikat är undertecknad - eller på annat sätt säkerställd i de fall en säker identifiering tidigare gjorts enligt ovan - och att uppgifterna är fullständiga och överensstämmer med uppgifter i ett officiellt register (Riktlinjerna 4.10). Kravet på att ansökan ska vara "behörigen" undertecknad eller signerad syftar på den betydelsefulla uppgiften för certifikatutfärdaren att dels kontrollera att en ansökan om certifikat för elektronisk myndighetsstämpel eller webbserver-certifikat har gjorts av en behörig företrädare för myndigheten, dels vidta rimliga åtgärder för att medborgarcertifikat - och tjänstecertifikat - inte utfärdas till någon som är omyndig eller av motsvarande skäl inte bör få aktivera automatiska rutiner i myndigheternas system. Utfärdaren producerar certifikat i enlighet med lämnade och kontrollerade uppgifter och förser certifikaten med sin avancerade elektroniska signatur eller avancerade elektroniska stämpel. Medborgare och handläggare förses med ett certifikat för signering och ett för identifiering och insynsskydd (Riktlinjerna 4.11). I de fall där certifikatutfärdaren framställer de privata nycklarna ska dessa nycklar och lösenord för att aktivera dem (aktiveringsdata) befordras till sökanden i separata försändelser. När en säker identifiering inte gjorts tidigare ska åtminstone endera av nycklar och lösenord lämnas ut till sökanden vid personligt besök hos utfärdaren eller ett ombud för denne. När ett förenklat förfarande används bör sökanden få identifiera sig på samma sätt vid utlämnande av nycklar, aktiveringsdata och certifikat som vid ansökan om certifikat (Riktlinjerna 4.12). Utfärdaren ska använda särskilt tillförlitliga rutiner för att skydda sina privata nycklar för

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

SAMSET dagsläget sommaren 2003

SAMSET dagsläget sommaren 2003 SAMSET dagsläget sommaren 2003 Behovet av elektronisk identifiering och underskrifter Medborgarna och företag ett har stort behov av att kunna ta kontakt med myndigheter snabbt och enkelt. Med Internet

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

E-tjänster - juridiska lösningar för kommuner och landsting

E-tjänster - juridiska lösningar för kommuner och landsting E-tjänster - juridiska lösningar för kommuner och landsting Det behövs en helhetssyn - hur göra tekniska standarder och säkerhetslösningar, förvaltningspolitiska analyser och strävanden, rättsteoretiska

Läs mer

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva Svenska e-legitimationer och certifikat Wiggo Öberg, Verva Presentation av rapport och förslagets inriktning Historia och bakgrund Målbild Alternativa vägar Förslag Genomförande Frågor, synpunkter och

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Juridiska förutsättningar för kommunikation i Poosty

Juridiska förutsättningar för kommunikation i Poosty 4 april 2012 Juridiska förutsättningar för kommunikation i Poosty Per Furberg 1 och Erik Sandström 2 1. Bakgrund Vi har blivit ombedda av Poosty AB att kommentera de juridiska förutsättningarna för att

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

Tjänster för elektronisk identifiering och signering

Tjänster för elektronisk identifiering och signering Bg eid Gateway och Bg PKI Services Tjänster för elektronisk identifiering och signering En elektronisk ID-handling är förutsättningen för säker och effektiv nätkommunikation. I takt med att tjänster blir

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Dokument: Attest-signatur Version 0.1 Författare Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Innehåll 1 Inledning... 2 1.1 Syfte... 2 2 Informationsflöde... 3 2.1 Begrepp... 3 3 Grundprincip... 5 4

Läs mer

ELEKTRONISK KOMMUNIKATION I MYNDIGHETERNAS VERKSAMHET

ELEKTRONISK KOMMUNIKATION I MYNDIGHETERNAS VERKSAMHET 3.11.2003 Nr 34/2003 1 (2) ELEKTRONISK KOMMUNIKATION I MYNDIGHETERNAS VERKSAMHET Lagen om elektronisk kommunikation i myndigheternas verksamhet (12/2003) antages i kyrkolagen genom samma ändringspaket

Läs mer

DNSSEC och säkerheten på Internet

DNSSEC och säkerheten på Internet DNSSEC och säkerheten på Internet Per Darnell 1 Säkerheten på Internet Identitet Integritet Oavvislighet Alltså 2 Asymmetrisk nyckelkryptering Handelsbanken 3 Asymmetrisk nyckelkryptering 1 Utbyte av publika

Läs mer

Roller och funktioner

Roller och funktioner Central signering Hur fungerar lösningen tekniskt ch juridiskt Stefan Santessn, 3xA Security AB stefan@aaa-sec.cm Per Furberg, Setterwalls Per.Furberg@Setterwalls.se Rller ch funktiner Signeringsfunktin

Läs mer

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI 1 VGC RA Policy Västra Götalandsregionens Registration Authority Policy Kontaktperson: Fredrik Rasmusson OID för policy: 1.2.752.113.10.1.2.1.2.1 DOK.NAMN: Västra Götalandsregionens Registration Authority

Läs mer

Grunderna i PKI, Public Key Infrastructure

Grunderna i PKI, Public Key Infrastructure Grunderna i PKI, Public Key Infrastructure Christer Tallberg ctg07001@student.mdh.se Philip Vilhelmsson pvn05001@student.mdh.se 0 Sammanfattning I och med dagens informationssamhälle finns ett stort behov

Läs mer

Samverka effektivare via regiongemensam katalog

Samverka effektivare via regiongemensam katalog Samverka effektivare via regiongemensam katalog Seminarium 4:6 Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Johan Zenk, Landstinget i Östergötland Ännu inget genombrott för e-legitimation

Läs mer

05:02 Vägledning för hantering av inkommande elektroniska handlingar

05:02 Vägledning för hantering av inkommande elektroniska handlingar 05:02 Vägledning för hantering av inkommande elektroniska handlingar DATUM DIARIENR 2005-05-11 2004/20-3 Vägledning för hantering av inkommande elektroniska handlingar Denna Vägledning för hantering av

Läs mer

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Hur når man tre miljoner användare på ett enkelt och säkert sätt? Hur når man tre miljoner användare på ett enkelt och säkert sätt? sten.arvidson@foreningssparbanken.se Affärer på nätet behöver generella och lättillgängliga lösningar för konsumenterna Idag olika metoder

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå Seminariespår 3 Elektronisk signering nuläge, nyläge och ambitionsnivå Seminariespår 3 - Upplägg Introduktion Nils Fjelkegård, E-legitimationsnämnden E-tjänsternas behov av elektroniska underskrifter,

Läs mer

En övergripande bild av SITHS

En övergripande bild av SITHS En övergripande bild av SITHS Kontakt: Jessica Nord E-post: servicedesk@inera.se Webbsida: www.siths.se 1 2 Nationell e-hälsa SITHS en pusselbit Vad används SITHS till? Fysisk ID-handling Inpassering Säker

Läs mer

Oktober 2000 Version 1:1. Välkommen till e-giro webhotell

Oktober 2000 Version 1:1. Välkommen till e-giro webhotell Oktober 2000 Version 1:1 Välkommen till e-giro webhotell Inledning Inledning E-giro webbhotell. Är en integrerad elektronisk fakturerings- och betalningstjänst. Skapar nya möjligheter till direktkommunikation

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0 Direktkoppling till Girolink Internet Filöverföring av betalningar och betalningsinformation via Girolink Internet Version 1.0 Maj 2007 Innehållsförteckning 0. DOKUMENTHISTORIK 1 ALLMÄNT - DIREKTKOPPLING

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Lag (2008:962) om valfrihetssystem

Lag (2008:962) om valfrihetssystem Lag (2008:962) om valfrihetssystem 1 kap. Lagens tillämpningsområde Lagens omfattning 1 Denna lag gäller när en upphandlande myndighet beslutat att tillämpa valfrihetssystem vad gäller tjänster inom hälsovård

Läs mer

Introduktion till regeringsuppdraget. automatiserad ärendehantering

Introduktion till regeringsuppdraget. automatiserad ärendehantering Introduktion till regeringsuppdraget automatiserad ärendehantering Innehåll 1. Inledning 1 Bakgrund 2 Syfte 3 2. Förberedelser 4 Intervjuer 5 Planera för processanalyser 6 Anlita seminarieledare 6 Rapportera

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Elektroniska original, kopior och avskrifter

Elektroniska original, kopior och avskrifter Elektroniska original, kopior och avskrifter Vägledning från E-delegationen 2012-06-07 FÖRORD Förord För att e-förvaltningen ska kunna utvecklas och förenkla vardagen för enskilda är det viktigt att myndigheterna

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Välkommen till e-giro privat

Välkommen till e-giro privat Välkommen till e-giro privat Välkommen till e-giro privat! Inledning De svenska internetbankerna växer snabbt. Fler och fler betalar räkningar och fakturor via sin dator och slipper köer, krångel och

Läs mer

Säker elektronisk fakturering av konsumenter

Säker elektronisk fakturering av konsumenter Postens erfarenheter kring beredning av momsdirektivet (2001/115/EG), med fokus på effekter för dagens tjänster kring Säker elektronisk fakturering av konsumenter Peter Holm Fil Dr, Affärsutvecklare Posten

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Regeringens proposition 1999/2000:117

Regeringens proposition 1999/2000:117 Regeringens proposition 1999/2000:117 Lag om kvalificerade elektroniska signaturer, m.m. Prop. 1999/2000:117 Regeringen överlämnar denna proposition till riksdagen. Malmö den 18 maj 2000 Göran Persson

Läs mer

receiver En produkt från ida infront - a part of Addnode

receiver En produkt från ida infront - a part of Addnode receiver En produkt från ida infront - a part of Addnode Det handlar egentligen inte om blanketter, elektroniska certifikat och e-tjänster. Det handlar om tillgänglighet och service. innehåll Sid 4 iipax

Läs mer

Vad är en Certifikatspolicy och utfärdardeklaration

Vad är en Certifikatspolicy och utfärdardeklaration Certifikatspolicy och Utfärdardeklaration Innehåll Certifikatpolicy Migrationsverket Filcertifikat Version1 Certifikatpolicy Migrationsverket Smarta Kort Version 1 Utfärdardeklaration (CPS) Migrationsverket

Läs mer

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Undantag från förbudet i 21 personuppgiftslagen (1998:204) BESLUT Dnr 2008-03-18 1402-2007 Svenska Bankföreningen Att: Marie-Louise Ulfward Box 7603 103 94 STOCKHOLM Såsom ombud för: Se bilaga. Undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens

Läs mer

Ansvarsförbindelse etjänstekort

Ansvarsförbindelse etjänstekort Ansvarsförbindelse etjänstekort Ansvarsförbindelse avseende användning, utgivning och administration av etjänstekort för verksamhet: [Verksamhet som ansvarsförbindelsen gäller] Modell Anvisning Dokumentation

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Offentlighetsprincipen och allmänna handlingar

Offentlighetsprincipen och allmänna handlingar Offentlighetsprincipen och allmänna handlingar 2010 07 01 Producerat av Avdelningen för juridik, Region Skåne Form: Christian Andersson, Region Skåne Tryck: Servicelaget i Kristianstad 2010 Offentlighetsprincipen

Läs mer

Användningen av elektronisk identifiering och signaturer

Användningen av elektronisk identifiering och signaturer DATUM RAPPORTNUMMER 30 januari 2004 PTS-ER-2004:3 ISSN 1650-9862 Användningen av elektronisk identifiering och signaturer Hur ser marknaden ut och vilka är hindren mot en ökad användning? Förord Post-

Läs mer

etjänstekortsmodellen

etjänstekortsmodellen SLL IT VERSION 3.0 etjänstekortsförvaltningen 2010-11-15 LS etjänstekortsmodellen INNEHÅLLSFÖRTECKNING etjänstekortsmodellen... 1 Versionshistorik... 5 1 Inledning... 6 1.1 Bakgrund... 6 1.1.1 Nationellt

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Manual Beställning av certifikat (HCC) till reservkort

Manual Beställning av certifikat (HCC) till reservkort Manual Beställning av certifikat (HCC) till reservkort Landstinget Västmanland INNEHÅLLSFÖRTECKNING 1 REVISIONSHISTORIK... 3 2 INTRODUKTION... 4 3 UTFÄRDA RESERVKORT... 4 3.1 BESTÄLLNINGSUPPDRAG... 4 3.2

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15 Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Allmänna Villkor för Tjänsten

Allmänna Villkor för Tjänsten Allmänna Villkor för Tjänsten 2014-12-23 1. OMFATTNING OCH DEFINITIONER 1.1. Dessa Allmänna Villkor för Kund gäller när Joblife AB (nedan kallad Joblife ) ger privatpersoner ( Användare ) tillgång till

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Många företag och myndigheter sköter sina betalningar till Plusoch

Många företag och myndigheter sköter sina betalningar till Plusoch 70 80 60 ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 40 20 30 Manual 2 Installation Många företag och myndigheter sköter sina betalningar till Plusoch Bankgirot

Läs mer

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Dataintrång - åtgärder vid misstanke om olovlig åtkomst Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2013-10-09 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutad Dokumentid:

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Samsetrapport 2002:1 1. Infratjänster. för 24-timmarsmyndigheterna. En vägledning från SAMSET 2002-11-19

Samsetrapport 2002:1 1. Infratjänster. för 24-timmarsmyndigheterna. En vägledning från SAMSET 2002-11-19 Samsetrapport 2002:1 1 Infratjänster för 24-timmarsmyndigheterna En vägledning från SAMSET 2002-11-19 2 Samsetrapport 2002:1 Riksskatteverket 1 MISSIV Johan Bålman 2002-11-19 9576-02/100 08-764 8092 Statskontoret

Läs mer

BILAGA LEVERANSER 1 under Avtal mellan Skanova Access och Kunden om tillgång till Skanova Access produkter

BILAGA LEVERANSER 1 under Avtal mellan Skanova Access och Kunden om tillgång till Skanova Access produkter BILAGA LEVERANSER 1 LEVERANSER 1 Allmänt 1.1 Omfattning Denna bilaga omfattar rutiner för beställning och leverans av Produkter. Villkoren i bilagan gäller, från den dag de tillförts Avtalet, i stället

Läs mer

E-legitimationer - en ofantlig angelägenhet

E-legitimationer - en ofantlig angelägenhet E-legitimationer - en ofantlig angelägenhet Christer Haglund Avdelningen för tillväxt och samhällsbyggnad Sveriges Kommuner och Landsting christer.haglund@skl.se Sammanhållen e-förvaltning en väg in Kurator

Läs mer

Civilrättsliga sanktioner på immaterialrättens område - genomförande av direktiv 2004/48/EG (Ds 2007:19)

Civilrättsliga sanktioner på immaterialrättens område - genomförande av direktiv 2004/48/EG (Ds 2007:19) SVEA HOVRÄTT YTTRANDE 2007-10-01 Stockholm Dnr 417/07 Justitiedepartementet Enheten för immaterialrätt och transporträtt 103 33 Stockholm Civilrättsliga sanktioner på immaterialrättens område - genomförande

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet)

Läs mer

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen. Fastställd av KS 120 Den 11 september 2001 Sida 1:1 Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen CIRKULÄR A 01/2009 Till Trafikförsäkringsföreningens medlemmar Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet) är en branschorganisation

Läs mer

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset 011-15 00 00 kommunstyrelsen@norrkoping.se

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset 011-15 00 00 kommunstyrelsen@norrkoping.se REGLER FÖR E-POST 1(9) 2011-05-09 KS-267/2011 Handläggare, titel, telefon Peter Fagerlund, Systemansvarig 011 15 3430 Regler och riktlinjer för e-post och gruppkommunikation i Norrköpings kommun Fastställda

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte

Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte PM Marknadsundersökning 1(13) Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte Innehåll 1 BAKGRUND... 2 2 FÖRUTSÄTTNINGAR... 2 3 AGENDA... 3 4 FRÅGESTÄLLNINGAR...

Läs mer

E-legitimation för säkra e-tjänster

E-legitimation för säkra e-tjänster E-legitimation för säkra e-tjänster Lägesrapport från 24-timmarsdelegationen Februari 2005 Till Statsrådet Sven-Erik Österberg 24-timmarsdelegationen (kallas i det följande normalt enbart delegationen

Läs mer

DIGITALA DOKUMENT LÄSA OCH DISTRIBUERA

DIGITALA DOKUMENT LÄSA OCH DISTRIBUERA DIGITALA DOKUMENT LÄSA OCH DISTRIBUERA SÄKERHET, SEKRETESS OCH ATT GÖRA RÄTT 01 GRUPPEN VI SOM JOBBAT Vi som jobbat med aktiviteten Christoffer Winterkvist och Mattias Lyckne har granskat kraven på sekretess

Läs mer

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt PROMEMORIA Datum 2007-04-13 Författare Ruth Yosef Ny funktionalitet för Finansinspektionens offentliggörande av prospekt Finansinspektionen P.O. Box 6750 SE-113 85 Stockholm [Sveavägen 167] Tel +46 8 787

Läs mer

UPPHANDLING AV SKYLTNING AV OCH I ANSLUTNING TILL POLISIÄRA LOKALER (6 bilagor)

UPPHANDLING AV SKYLTNING AV OCH I ANSLUTNING TILL POLISIÄRA LOKALER (6 bilagor) Rikspolisstyrelsen Polisens verksamhetsstöd Affärsenheten Handläggare Datum Philip Rasch 2014-06-12 E-post philip.rasch@polisen.se Saknr och diarienummer 939-A138.031/2014 UPPHANDLING AV SKYLTNING AV OCH

Läs mer

SKL. 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman

SKL. 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman SKL 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman IT-chef Avdelningen för tillväxt och samhällsbyggnad Sveriges Kommuner och Landsting 08-452 74 26 Brittmarie.boman@skl.se 1 Vervas

Läs mer

Säkerhetsskyddsplan för Piteå kommun

Säkerhetsskyddsplan för Piteå kommun Säkerhetsskyddsplan för Piteå kommun Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Säkerhetsskyddsplan för Piteå kommun Plan/Program 2013-11-18, 190 Kommunfullmäktige Dokumentansvarig/processägare

Läs mer

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 2(7) Innehåll 1 Inledning...3 1.1 Bakgrund...3 2 Intention...3 3 Ledning och ansvar...4 4 Nuläge...5 5 Strategier och

Läs mer

Identifieringstjänst. del av projektet Infrastruktur 2.0 2014-05-13

Identifieringstjänst. del av projektet Infrastruktur 2.0 2014-05-13 Identifieringstjänst del av projektet Infrastruktur 2.0 2014-05-13 Identifieringstjänst Innehåll: Vad är ett SITHS-kort? Vad används SITHS-kort till? Varför kan man lita på SITHS-kort? SITHS konceptet

Läs mer

Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING

Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING v 1.1 maj 2012 1. Bakgrund 1.1 AFA Försäkring är samlingsnamnet för de tre bolagen AFA Sjukförsäkrings aktiebolag,

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer Datum Diarienr 2014-06-12 1739-2013 Riksidrottsförbundet Idrottens hus 114 73 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer Datainspektionens beslut Datainspektionen

Läs mer

Hantering av handlingar i Sandvikenhus AB och Sandviken Energi AB

Hantering av handlingar i Sandvikenhus AB och Sandviken Energi AB GranskningsPM Hantering av handlingar i Sandvikenhus AB och Sandviken Energi AB Sandvikens kommun Pär Månsson Hanna Franck Innehållsförteckning 1 Inledning 1 1.1 Bakgrund 1 1.2 Syfte 1 1.3 Metod 1 2 Offentlighetsreglerna

Läs mer

Försäkringskassans principer för e- tjänstelegitimationer

Försäkringskassans principer för e- tjänstelegitimationer Försäkringskassans principer för e- tjänstelegitimationer Version Rev A Copyright, Försäkringskassan Sid. 1 (31) Innehåll 1 OMFATTNING... 4 2 REFERENSER... 6 3 DEFINIONER OCH FÖRKORTNINGAR... 7 3.1 DEFINIONER...

Läs mer

Administration generellt

Administration generellt Administration generellt Motsvarande vägledningar för vänstermeny hittar du längre ner i dokumentet Generellt Med Business Online Administration kan du bl.a. registrera, ändra och ta bort användare beställa

Läs mer

Policy och tillämpningsförslag. Informationsutbyte. mellan externa vårdgivare och Region Skåne

Policy och tillämpningsförslag. Informationsutbyte. mellan externa vårdgivare och Region Skåne Hälso- och sjukvårdsledningen POLICY Datum December 2004 Dnr HSN/000000 Policy och tillämpningsförslag Informationsutbyte mellan externa vårdgivare och Region Skåne Adress: S-291 89 KRISTIANSTAD Besöksadress:

Läs mer

Råd för systembeskrivning

Råd för systembeskrivning Landstingsarkivet Råd nr. 3 Sidan 1 av 6 LA 2011-4072 Version 3 Råd för systembeskrivning Varför ska systembeskrivningar upprättas? Följande text återfinns i Offentlighets- och sekretesslagen (OSL) 4 kap.

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Information från Löne- och Pensionsservice

Information från Löne- och Pensionsservice Information från Löne- och Pensionsservice Information om bankbyte och övergång till e-lönebesked Den 1 juni 2011 byter Östersunds kommun bank till Swedbank. Det innebär att lön kommer att betalas ut via

Läs mer