Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer

Storlek: px
Starta visningen från sidan:

Download "Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer"

Transkript

1 BESLUT 1(24) Datum Vår referens Aktbilaga Dnr: Nätsäkerhetsavdelningen Staffan Lindmark SignGuard Europe AB Drottninggatan 61 / 3 tr Stockholm Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer Saken Tillsyn enligt 18 lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen). s avgörande avskriver ärendet från vidare handläggning.

2 2(24) Innehåll 1 Inledning Bakgrund Syftet med tillsynen Metod vid genomförandet av tillsynen Tillsynens omfattning och avgränsning Dokumentets disposition 4 2 Regelverket för kvalificerade certifikat och elektroniska signaturer Bakgrunden till EU-regleringen på området Lag (2000:832) om kvalificerade elektroniska signaturer Lagens tillämpningsområde Definitioner av begrepp rörande certifikat och signaturer Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer 10 3 Resultatet av tillsynen PTS bedömningar Inledning Tekniska krav på certifikat och signaturanordningar Krav på säkra anordningar för signaturframställning Krav på kvalificerade certifikat Allmänt om utfärdarverksamheten Personal och kompetens Rutiner och system Registrering och bevarande av uppgifter Utfärdande och återkallelse av certifikat Information till certifikatinnehavaren Identitetskontroll Återkallelse av certifikat Utfärdarens finansiella ställning 18

3 3(24) 1 Inledning 1.1 Bakgrund Signaturlagen innehåller bestämmelser om säkra anordningar för signaturframställning, om kvalificerade certifikat för elektroniska signaturer och om utfärdande av sådana certifikat. PTS är, i enlighet med 2 förordning (2000:833) om kvalificerade elektroniska signaturer, tillsynsmyndighet enligt signaturlagen. Tillsynsmyndigheten ska enligt 18 signaturlagen utöva tillsyn över bland annat efterlevnaden av lagen. Av 19 signaturlagen framgår att tillsynsmyndigheten får förelägga den som bedriver verksamhet som omfattas av lagen att tillhandahålla myndigheten upplysningar och handlingar som behövs för tillsynen. Enligt 1 signaturlagen gäller lagens bestämmelser sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten. Enligt 8 signaturlagen är en certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten skyldig att anmäla detta hos tillsynsmyndigheten. I dagsläget är SignGuard Europe AB (SignGuard) den enda utfärdare som har anmält sig som utfärdare av kvalificerade certifikat i enlighet med denna bestämmelse. PTS inledde i maj 2009 tillsyn av efterlevnaden av de krav på utfärdare av kvalificerade certifikat som framgår av signaturlagen. Tillsynen har även omfattat kontroll vad gäller tillhandahållna säkra anordningar för signaturframställning. 1.2 Syftet med tillsynen Den tillsyn som genomförts har varit planlagd och har inte föranletts av några klagomål eller misstankar om att den certifikatutfärdare som är anmäld hos PTS, SignGuard, inte skulle efterleva signaturlagens krav. Syftet med tillsynsarbetet har varit att göra en övergripande kontroll av att certifikatutfärdaren efterlever signaturlagens krav på säkra anordningar för signaturframställning och kvalificerade certifikat samt bedriver verksamheten i enlighet med signaturlagens krav på utfärdande av kvalificerade certifikat för elektroniska signaturer. I förarbetena till signaturlagen framhålls att den tillsyn som utövas bör vara så marknadsorienterad som möjligt. Vidare anges att tillsynssystemet, med hänsyn till att verksamheten för en certifikatutfärdare är beroende av att det finns ett förtroende för certifikaten, kan utformas så att det inte lägger några onödiga administrativa bördor på certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en utfärdare närmare. PTS anser emellertid att även en planlagd tillsyn som den förevarande kan bidra till ett stärkt förtroende för de

4 4(24) kvalificerade certifikaten. Detta gäller inte minst då certifikatutfärdaren inte genomgått ackreditering eller något annat revisionsförfarande av utfärdarverksamheten. Det bör dock framhållas att den tillsyn PTS genomför sker på en övergripande nivå och inte kan ersätta den ingående genomgång av verksamheten som en ackreditering skulle innebära. 1.3 Metod vid genomförandet av tillsynen Tillsynen inleddes med att en enkät skickades till SignGuard, med frågor om SignGuards utfärdarverksamt, säkra signaturanordningar, samt de kvalificerade certifikat som SignGuard utfärdar. För att inhämta kompletterande information hölls därefter också ett telefonmöte mellan PTS och SignGuard. Efter analys av SignGuards svar, har PTS fört en dialog med SignGuard avseende vissa av kraven på utfärdarverksamheten. Till stöd i arbetet med utformande av enkätfrågor och granskning av SignGuards enkätsvar har PTS anlitat extern teknisk expertis. PTS har även inhämtat generell information om hur tillsyn inom området bedrivs i andra medlemsstater inom EU, genom en enkät riktad till medlemmar i samarbetsorganet Forum of European Supervisory Authorities of electronic signatures (FESA). En dialog inom FESA har även förts avseende vissa specifika tolkningsfrågor som uppkommit under tillsynen. Yttranden har, där så har bedömts nödvändigt, även inhämtats från andra myndigheter i Sverige. 1.4 Tillsynens omfattning och avgränsning Den nu genomföra tillsynen har omfattat de krav som ställs på säkra anordningar för signaturframställning i enlighet med 3 4 signaturlagen, kvalificerade certifikat enligt 6 signaturlagen samt certifikatutfärdarverksamhet enligt 9 12 signaturlagen. 1.5 Dokumentets disposition Inledningsvis lämnas en beskrivning av för området relevant lagstiftning på europeisk och nationell nivå (kapitel 2). Beskrivningen följs av PTS bedömning av om SignGuards verksamhet uppfyller kraven i signaturlagen (kapitel 3). I kapitel 4 beskrivs slutligen myndighetens planer för det fortsatta arbetet inom området.

5 5(24)

6 6(24) 2 Regelverket för kvalificerade certifikat och elektroniska signaturer 2.1 Bakgrunden till EU-regleringen på området Avsikten med en elektronisk signatur är att åstadkomma motsvarande koppling till en text eller annan informationsmängd, som en personlig namnteckning har till informationen på det papper där den skrivs. Signaturen kan sägas ge uttryck för en vilja att handla på ett visst sätt och har därmed en klar rättslig betydelse. En elektronisk signatur kan användas för att säkerställa att elektroniskt överförd information inte har förändrats, för att identifiera informationens avsändare och för att förhindra avsändaren att förneka att han eller hon sänt informationen. Vilken rättslig betydelse en elektronisk signatur får, är beroende av vilka krav som uppställs i den tillämpliga rättsordningen. Om det uppställs uttryckliga krav på att en underskrift ska vara utförd eller utformad på ett visst sätt, kan det försvaga eller helt förta den elektroniska signaturens rättsliga signifikans. I svensk rätt finns endast ett fåtal bestämmelser där underskriften utgör en förutsättning för en viss rättsverkan. Vanligen har en underskrift därför endast betydelse som bevis för ett visst påstått förhållande. Det finns därför inte heller någon principiell skillnad mellan en handskriven och en elektronisk underskrift. Den elektroniska underskriftens bevisvärde är beroende av i vilken utsträckning dess tekniska egenskaper, tillsammans med t.ex. förfarandet för utfärdande och användning, kan anses styrka ett visst påstående. I andra länders lagstiftning kan däremot den handskrivna namnteckningens rättsverkan i stor utsträckning vara uttryckligt reglerad. Eftersom elektroniska signaturer, till skillnad från handskrivna, utgörs av tekniskt komplexa lösningar, har risken varit stor att dess rättsverkan skulle komma att variera kraftigt mellan olika länders rättsordningar. För att förhindra att dessa förhållanden skulle skapa allvarliga hinder för den inre marknaden och utvecklingen av elektronisk handel, antogs den 13 december 1999 direktivet om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG, nedan kallat signaturdirektivet). Avsikten med direktivet är att fastställa ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad. 1 I direktivet definieras vilka krav som ska vara uppfyllda för att ett elektroniskt certifikat ska anses kvalificerat och för att en elektronisk signatur ska anses vara 1 Se prop. 1999/2000:117 s. 27

7 7(24) avancerad. Avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapats av en säker anordning för skapande av signaturer ska, enligt direktivet, anses uppfylla eventuella krav i nationell reglering avseende handskrivna namnteckningar samt godtas som bevis på motsvarande sätt som en traditionell underskrift (artikel 5.1). Det finns vidare krav på att elektroniska signaturer under vissa förhållanden inte får förvägras rättslig verkan eller giltighet som bevis (artikel 5.2). Direktivets regler är således i första hand till för att undanröja eventuella rättsliga hinder för användningen av elektroniska signaturer. Som konstaterats ovan finns, tack vare principen om fri bevisföring i svensk domstol, inte några allvarliga sådana hinder för användning elektroniska signaturer inom Sverige. För de svenska nationella förhållandena har därför direktivets bestämmelser främst haft betydelse såsom normgivande för utformningen av system för utfärdande av elektroniska certifikat och elektronisk signering. När de uppgifter som signeras inte enbart har betydelse för svenska förhållanden finns det däremot ett reellt behov av att kunna säkerställa underskrifters rättsverkan i andra länder. Regelverket om kvalificerade elektroniska signaturer får därför betydelse för dem som avser att utbyta information med parter i andra länder inom EU. Detta gäller i synnerhet i de fall där det saknas praktiska möjligheter att på förhand avtala med den utländska motparten om en modell för utbyte av elektronisk information. Eftersom det föreskrivna systemet med kvalificerade certifikat och elektroniska signaturer är ett så kallat öppet system, så krävs inte att den part som mottar signerad information och förväntas förlita sig på signaturen (den förlitande parten) inte på förhand har ingått ett avtal med vare sig undertecknaren eller utfärdaren av det kvalificerade certifikatet. Att så är fallet får särskilt stor betydelse i enskildas kontakter med utländska myndigheter. Karaktäristiskt för dessa kontakter är att det saknas en tidigare relation mellan parterna: Det kan t.ex. röra sig om en ansökan som lämnas av en näringsidkare som önskar tillstånd för att bedriva en viss verksamhet i ett annat land. Trots att tillgänglighet till utländska myndigheter via elektroniska förfaranden således torde har varit en av de underliggande orsakerna till signaturdirektivets tillkomst har denna utveckling gått trögt. En orsak till detta skulle kunna vara den möjlighet som finns för medlemsstater att förena användningen av elektroniska signaturer i den offentliga sektorn med särskilda krav (artikel 3.7). I samband med införandet av europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet) har dock en förnyad ansats tagits för att underlätta enskildas kontakter med offentliga institutioner. Bl.a. ska det i varje land finnas en

8 8(24) nationell kontaktpunkt, dit enskilda kan vända sig för att få hjälp att kontakta rätt nationell myndighet för det aktuella ärendet. I detta sammanhang ska medlemsstaterna se till att alla förfaranden och formaliteter för att få tillträde till och utöva en tjänsteverksamhet kan fullgöras enkelt, på distans och på elektronisk väg (artikel 8). I kravet ligger även en skyldighet att ta emot elektroniskt underskrivna handlingar. I enlighet med kommissionens beslut ska sådana handlingar godtas, som underskrivits med avancerade elektroniska signaturer, baserade på kvalificerade certifikat. 2 Av kommissionens beslut om tillämpningen av tjänstedirektivet framgår vidare att varje medlemsstat är skyldig att upprätthålla en elektroniskt tillgänglig förteckning över anmälda utfärdare av kvalificerade certifikat i landet. PTS tillhandahåller en sådan förteckning för Sveriges räkning. 2.2 Lag (2000:832) om kvalificerade elektroniska signaturer Lagens tillämpningsområde Signaturdirektivet har i Sverige implementerats i signaturlagen. Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten (1 ). Vissa av lagens bestämmelser (såsom de i 3 5 om säkra signaturanordningar) syftar dock till att definiera begrepp som inte direkt berör utfärdarverksamheten. I 17 finns även en bestämmelse som mer allmänt tar sikte på att klargöra elektroniska signaturers rättsverkan. Enligt bestämmelsen ska en kvalificerad elektronisk signatur anses uppfylla eventuella krav på egenhändig underskrift eller motsvarande i annan lag eller författning, under förutsättning att det aktuella kravet får uppfyllas med elektroniska medel. Att lagen i övrigt gäller certifikatutfärdare etablerade i Sverige, innebär att dess bestämmelser inte kan tillämpas i förhållande till kvalificerade certifikat utfärdade av certifikatutfärdare i andra länder. Enligt 7 gäller att ett certifikat alltid ska anses kvalificerat i Sverige, om det är utfärdat av en certifikatutfärdare som är etablerad i en annan medlemsstat inom EU och i den staten har rätt att utfärda kvalificerade certifikat. Eftersom signaturdirektivets bestämmelser gäller i samtliga medlemsstater, innebär detta i praktiken främst en avgränsning av respektive nationell tillsynsmyndighets ansvarsområde, men det utgör för certifikatutfärdarna även en avgränsning vad gäller tillämpligheten av nationella skadeståndsbestämmelser. 2 C(2009)7806 final COMMISSION DECISION of setting out measures facilitating the use of procedures by electronic means through the points of single contact under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market

9 9(24) Det är vidare endast de certifikatutfärdare som anger att de utfärdar certifikat som är kvalificerade som omfattas av lagens bestämmelser. 3 Detta är en orsak till att det stora flertalet certifikatutfärdare som i dagsläget är etablerade i Sverige inte är anmälda till PTS såsom certifikatutfärdare och heller inte omfattas av regleringen. Av 8 framgår att certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos tillsynsmyndigheten. Lagens bestämmelser gäller dock även om utfärdaren underlåtit att anmäla verksamheten till PTS Definitioner av begrepp rörande certifikat och signaturer I 2 definieras begreppen kvalificerade elektroniska signaturer och kvalificerade certifikat. Varje begrepp består av flera led, som definieras separat. På så vis klargörs begreppens individuella förhållande, där en gradvis skärpning av kriterierna sker: Elektronisk signatur definieras som data i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från den som framstår som utställare och att det inte har förvanskats och kan i praktiken omfatta mycket enkla underskrifter i elektronisk form. För att en elektronisk signatur ska anses vara avancerad krävs emellertid att den är knuten uteslutande till en undertecknare, gör det möjligt att identifiera undertecknaren, är skapad med hjälpmedel som endast undertecknaren kontrollerar, och är knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. Det ställs med andra ord relativt höga krav på teknisk säkerhet, för att nå upp till denna nivå. En kvalificerad elektronisk signatur, slutligen, måste utöver ovanstående krav även vara baserad på ett kvalificerat certifikat och skapad av en säker anordning för signaturframställning Vad gäller de certifikat som används för att skapa elektroniska signaturer finns motsvarande gradvisa uppbyggnad av begreppen. Ett certifikat anges vara ett intyg i elektronisk form som kopplar ihop signaturverifieringsdata med en 3 Jfr 6 första stycket 1.

10 10(24) undertecknare och bekräftar dennes identitet och för att anses kvalificerat ska certifikatet uppfylla de krav som närmare anges i 6 och 7. Vad gäller anordning för signaturframställning definieras detta som en maskineller programvara för användning av signaturframställningsdata, där signaturframställningsdata utgörs av unika data, såsom koder eller hemliga krypteringsnycklar, som används för att skapa en elektronisk signatur. För att en signaturanordning ska anses säker krävs att de krav som anges i 3 5 är uppfyllda Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer Som konstaterats ovan omfattar huvuddelen av signaturlagen den verksamhet som bedrivs av utfärdare av kvalificerade certifikat. Centralt för bedömningen av verksamheten är därför om de certifikat som utfärdas uppfyller kriterierna i 6. Kriterierna består huvudsakligen av ett antal uppgifter som ska återfinnas i varje utfärdat certifikat, däribland upplysningen att certifikatet är kvalificerat, uppgifter om utfärdaren och den till vilket certifikatet utfärdats (undertecknaren), certifikatets giltighetstid liksom de kryptografiska nycklar som krävs för att koppla certifikatet till utfärdaren och till de signaturer som undertecknaren skapat. Utöver kraven på själva certifikaten finns i 9-12 krav på hur utfärdarverksamheten ska bedrivas. Dessa krav kan även konkretiseras i föreskrifter, men några sådana har i dagsläget inte utfärdats. Kraven beskrivs närmare i samband med bedömningen av efterlevnaden av respektive bestämmelse nedan.

11 11(24) 3 Resultatet av tillsynen PTS bedömningar 3.1 Inledning I detta kapitel redogör PTS för myndighetens bedömningar avseende hur SignGuard efterlever de bestämmelser i signaturlagen som omfattats av tillsynen. Vad gäller efterlevnaden av bestämmelserna rörande rutiner för identifiering av certifikatinnehavare och utfärdarens finansiella ställning, har PTS under ärendets handläggning meddelat SignGuard myndighetens preliminära bedömning, varefter SignGuard har vidtagit vissa åtgärder. Nedan redogörs för myndighetens slutliga bedömning. 3.2 Tekniska krav på certifikat och signaturanordningar Krav på säkra anordningar för signaturframställning I 3 ställs krav på den anordning som används för att skapa kvalificerade signaturer skyddar den privata nyckeln på ett tillräckligt säkert sätt. Av 4 framgår att kraven ska anses uppfyllda om de standarder som EUkommissionen beslutat efterlevs. Det bör dock observeras att det är möjligt att leva upp till kraven i 3 även genom att tillämpa andra standarder. SignGuard har uppgett att företaget inte själva utfärdar några anordningar för signaturframställning. SignGuard planerar dock att utfärda kvalificerade certifikat på anordningar för signaturframställning som har ett Common Criteriaevaluerat operativsystem, Infineons signaturanordning med CARD OS 4.3b. Godkännandet har skett i Tyskland. Kortet har ett evalueringscertifikat utfärdat av Bundesamt für Sicherheit in der Informationstechnik (BSI) och har evaluerats baserat på skyddsprofilen BSI-PP , EAL 5. Vidare har SignGuard uppgett att de kvalificerade certifikat som företaget i dagsläget utfärdar främst är avsedda att användas med de ID-kort som utfärdas av Skatteverket. Tidigare var avsikten att certifikaten främst skulle användas med de nationella ID-korten som utfärdas av polisen. Det är oklart enligt vilken standard och vilka krav som chip och operativsystem för dessa kort har evaluerats. SignGuard har uppgett att de framgent kommer att använda anordningar som evaluerats i Tyskland och som minst motsvarar kraven som ställs i de standarder som kommissionen pekat ut. Eftersom SignGuard i dagsläget inte själva utfärdar några anordningar för signaturframställning finns inte heller någon sådan anordning att utvärdera inom ramen för den här tillsynen.

12 12(24) Krav på kvalificerade certifikat I 6 anges att följande information ska finnas i ett certifikat för att det ska få kallas kvalificerat: 1. uppgift om att det utfärdats som ett kvalificerat certifikat, 2. certifikatutfärdarens namn och adress samt uppgift om etableringsland, 3. undertecknarens namn eller pseudonym med uppgift om att det är en pseudonym, 4. särskilda uppgifter om undertecknaren, om de är relevanta för ändamålet med certifikatet, 5. signaturverifieringsdata som motsvarar de signaturframställningsdata som undertecknaren vid tidpunkten för utfärdandet har kontroll över, 6. uppgift om certifikatets giltighetstid, 7. certifikatets identifieringskod, 8. certifikatutfärdarens avancerade elektroniska signatur eller en elektronisk signatur med motsvarande säkerhetsnivå, och 9. uppgift om eventuella begränsningar av certifikatets användningsområde eller av värdet på de transaktioner för vilka certifikatet kan användas (transaktionsbelopp). För att certifikatet ska få kallas kvalificerat krävs också att utfärdaren uppfyller kraven i SignGuard har redogjort för vilka uppgifter som de certifikat som utfärdas av företaget innehåller. Av redogörelsen framgår att certifikaten innehåller samtliga de uppgifter som räknas upp i 6, med undantag för utfärdarens och certifikatinnehavarens adress. PTS har även noterat en mindre avvikelse avseende utpekande av certifikatpolicy. 4 SignGuard bör vidta åtgärder för att säkerställa att informationen i de certifikat som i fortsättningen utfärdas, till fullo överensstämmer med kraven i 6 signaturlagen. 3.3 Allmänt om utfärdarverksamheten Personal och kompetens Av 9 1 st. 1 framgår att utfärdaren ska bedriva verksamheten tillförlitligt och ha personal med tillräcklig kompetens och erfarenhet för verksamheten, särskilt vad avser ledning, teknik och säkerhetsrutiner. SignGuard har uppgett att företaget, liksom dess underleverantörer och partners, arbetar aktivt på PKI-området. Arbetet omfattar utveckling av mjukvara och certifikatutfärdarverksamhet. De deltar i arbetsgrupper i Tyskland 4 SignGuard pekar i certifikaten på en certifikatpolicy med objektidentiteten 0, { itu-t(0), vilket pekar på ett träd av objektidentifierare för policy. Om SignGuard inte vill uppge en policy, såsom t.ex. ETSI:s policy för kvalificerade certifikat, torde det vara lämpligare att peka på anypolicy { }.

13 13(24) som utvecklar och förvaltar de tyska nationella lösningarna på området. SignGuard med partners har totalt 11 anställda, med olika kompetens inom området. PTS kan konstatera att det inte framgår av SignGuards uppgifter i vilken utsträckning de personer som är anställda av underleverantörer, är dedikerade till SignGuards verksamhet. PTS kan vidare notera att det av SignGuards årsredovisning framgår att SignGuard inte har några anställda. Det innebär att den kompetens som finns hos underleverantörer och partners är avgörande för företagets verksamhet och efterlevnaden av kraven i signaturlagen. Enligt PTS bedömning innebär signaturlagens krav inte något formellt hinder mot att ersätta anställd personal med anskaffande av tjänster från underleverantörer. En förutsättning är dock att underleverantörerna i avtal uttryckligen förbinder sig att upprätthålla en personalstyrka med den kompetens och erfarenhet som krävs enligt signaturlagen. PTS förutsätter att SignGuard, om så inte redan är fallet, säkerställer att avtal med underleverantörer innehåller sådana villkor Rutiner och system Enligt 9 1 st. 2-3 ska certifikatutfärdaren använda sådana rutiner för administration och ledning som uppfyller erkända standarder samt använda pålitliga system och produkter som är skyddade mot ändringar och se till att teknisk och kryptografisk säkerhet upprätthålls. SignGuard har uppgett följande. Företagets underleverantör, Mentana Claimsoft AG (Mentana), som hanterar den praktiska driften, har ett certifierat kvalitetsledningssystem i enlighet med ISO Mentana arbetar efter ledningssystem för informationssäkerhet i enlighet med den internationella standarden ISO/IEC Mentana har påbörjat certifiering av datacentret och organisationens rutiner och processer i enlighet med ISO/IEC Rutiner för behörighetshantering, fysiskt tillträde och loggning finns etablerade. Alla säkerhetskritiska transaktioner loggas och följs upp. Det finns ett aktivt intrångsdetekteringssystem och andra dataintegritetsskydd. Inloggning sker alltid baserat på certifikat. Utfärdandet av certifikat är fördelade på två personer, vilket medför att endast de två personerna gemensamt kan utfärda certifikat. Den mjukvara som används har godkänts av tillsynsmyndigheten för kvalificerade certifikat i Tyskland, Bundesnetzagentur. Det skydd av utfärdarens privata nycklar som används (HSM-modul) för utfärdandet av kvalificerade certifikat är Common Criteria-evaluerat till nivå EAL 4+ i Tyskland. Den fysiska driften är redundant genom spegling, vilket medför att om en site går ner så finns det en exakt kopia som kan ta över. PTS kan konstatera att ledningsystem, rutiner och processer förefaller adekvata för utfärdandet av kvalificerade certifikat. PTS kan också konstatera att det

14 14(24) skydd som SignGuard har för den privata utfärdarnyckeln motsvarar de krav som ställs i de standarder som EU-kommissonen pekat ut på området Registrering och bevarande av uppgifter Av 11 framgår att en utfärdare av kvalificerade certifikat ska bevara all relevant information om de utfärdade certifikat under den tid som är motiverad med hänsyn till typen av certifikat och övriga omständigheter. Utfärdaren ska vidare använda tillförlitliga system för lagring av kvalificerade certifikat i verifierbar form. Informationen ska skyddas så att äktheten kan kontrolleras och informationen endast kan nås och läsas av behöriga personer. Systemen ska vidare säkerställa att certifikaten endast är offentligt tillgängliga när certifikatinnehavarna har lämnat sitt samtycke till detta. Enligt 10 2 ska certifikatutfärdaren säkerställa att exakt tidpunkt kan anges för utfärdande och återkallelse av certifikat. SignGuard har uppgett följande. All information som återfinns i ansökan om utfärdande av ett kvalificerat certifikat är relevant att bevara. All sådan relevant information rörande de kvalificerade certifikaten registreras och hålls arkiverade digitalt i fem år. Information lagras i distribuerade databaser. Varje register är skyddat med krypterade tidsstämplar, vilket gör att äktheten i certifikatens uppgifter kan kontrolleras under hela lagringstiden. Utfärdade certifikat görs och hålls offentligt tillgängliga i en publik LDAP server. Innan ett utfärdat certifikat görs offentligt tillgängligt måste certifikatinnehavaren lämna sitt samtycke. Mot bakgrund av de uppgifter SignGuard lämnat anser PTS att den lagrade informationen är väl skyddad. Enligt PTS uppfattning kan det dock vara lämpligt att utöka lagringstiden för informationen till minst 10 år. En sådan lagringstid motsvarar de krav som ställs på bevarande av räkenskapsinformation, den allmänna preskriptionstiden för fordringar liksom de krav som ställts på information om certifikat som utfärdas inom systemet för s.k. e-legitimationer i Sverige Utfärdande och återkallelse av certifikat Information till certifikatinnehavaren Enligt 12 ska en utfärdare av kvalificerade certifikat, innan avtal om utfärdande av certifikat ingås, skriftligen och på ett lättbegripligt språk informera motparten om bl.a. begränsningar och andra villkor för användning av certifikatet samt förfaranden för klagomål och avgörande av tvister. 5 Se 7 kap. 2 bokföringslagen (1999:1078), 2 preskriptionslagen (1981:130) samt Grundläggande vägledning för myndigheternas användning av e-legitimationer och elektroniska underskrifter (E-nämnden 04:02), avsnitt 3.21.

15 15(24) SignGuard har uppgett följande. Företagets användarvillkor finns tillgängliga på bolagets webbplats där också certifikatpolicyn kan laddas ner av certifikatinnehavare och förlitande parter. Efter inloggning på webbplatsen kan certifikatinnehavaren skicka eventuella klagomål till bolaget per e-post. Alla klagomål och andra tvister behandlas av företagsledningen. PTS anser att SignGuard genom denna hantering uppfyller kraven i Identitetskontroll Enligt 9 1 st. 5 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten ha säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. Av lagstiftningens syften framgår att kvalificerade certifikat i första hand är tänkta att användas inom s.k. öppna system. Att ett system är öppet innebär att det inte grundas på avtal mellan ett bestämt antal deltagare. I det öppna systemet har den förlitande parten typiskt sett inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Däremot får det förutsättas att det alltid finns ett avtal mellan certifikatutfärdaren och dess kunder, dvs. certifikatinnehavarna. 6 I likhet med andra öppna system, såsom t.ex. SIS-märkta identitetshandlingar, bygger användningen av kvalificerade certifikat på tillit. För att säkerställa tilliten är utformningen av de regler och rutiner som omgärdar certifikathanteringen av yttersta vikt. Bland de viktigaste av dessa rutiner är de som syftar till att identifiera den som ansöker om ett certifikat och att säkerställa att certifikatet utfärdas till rätt individ. SignGuards rutiner för identifiering av den som ansöker om ett kvalificerat certifikat byggde inledningsvis på att identitetskontrollen i första hand utförs av tjänsteman vid antingen en polismyndighet eller Skatteverket. Tjänstemannen skulle, efter uppvisande av ett nationellt ID-kort, intyga den ansökandes identitet på ett särskilt formulär. Emellertid saknades avtal mellan SignGuard och de nämnda myndigheterna avseende identifiering. Myndigheterna uttalade vidare, i yttranden till PTS, att deras tjänstemän saknade möjlighet att utföra identifiering av personer som ansökt om kvalificerade certifikat inom ramen för sina arbetsuppgifter. PTS konstaterade därför att det tillämpade förfarandet, med hänsyn till vikten av tillit till systemet för utfärdande av kvalificerade certifikat, kunde anses utgöra en allvarlig brist och att SignGuard därför inte tillämpat säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. 6 Se signaturdirektivets ingresspunkt 16 och prop. 1999/2000:117 s. 35 f.

16 16(24) Efter att PTS meddelat SignGuard denna bedömning vid ett möte i februari 2010 har företaget upplyst om att rutinerna för identifiering har ändrats. Sammanfattningsvis har SignGuard lämnat följande upplysningar om identifieringsförfarandet. Förfarandet utgår numera från de identitetskort som utfärdas av Skatteverket. På dessa identitetskort finns även ett elektroniskt certifikat lagrat, som utfärdats av en av de upphandlade certifikatutfärdarna inom ramen för det svenska systemet för s.k. e-legitimationer. Den ansökande ges, genom SignGuards mjukvaruprodukter, möjlighet att elektroniskt signera ansökningshandlingen för ett kvalificerat certifikat, med det befintliga elektroniska certifikatet (e-legitimationen) på Skatteverkets identitetskort. Giltigheten på det befintliga certifikatet verifieras hos utfärdaren, via en tjänst för spärrförfrågningar som tillhandahålls av en tredjepartsleverantör. Om certifikatet är giltigt, anser SignGuard att den ansökandes identitet har kunnat verifieras. Detta förfarande innebär således, att SignGuard tillämpar s.k. indirekt identifiering av den som ansöker om ett kvalificerat certifikat. Identifieringen bygger på att Skatteverket ursprungligen, i enlighet med vedertagna principer och myndighetens föreskrifter, kontrollerat identiteten på den som ansökt om ett identitetskort. Utfärdaren av e-legitimationen som placeras på kortet, förlitar sig på Skatteverkets identifiering när e-legitimationens elektroniska certifikat utfärdas och placeras på kortet. SignGuard förlitar sig i sin tur på e-legitimationsutfärdaren. Det finns, enligt PTS bedömning, inte några formella hinder mot att, vid utfärdande av kvalificerade certifikat, tillämpa en indirekt identifiering av den ansökande. Inte minst med tanke på det särskilda ansvar för att identifieringen gått rätt till, som föreligger enligt signaturlagen (se vidare under 3.5 nedan), är det dock viktigt att utfärdaren av kvalificerade certifikat genom avtal säkerställt möjligheten att i sin tur kunna utkräva ansvar av den eller de parter som utfärdaren förlitar sig på, inom ramen för identifieringsförfarandet. I det aktuella fallet torde det ligga närmast till hands att SignGuard säkerställer ett sådant avtalsrättsligt åtagande från utfärdaren av det elektroniska certifikat som finns på Skatteverkets identitetskort, alternativt från den tredjepartsleverantör som tillhandahåller tjänsten för spärrförfrågningar. Under dessa förutsättningar finner PTS således att SignGuard rutiner för identitetskontroll nu uppfyller de krav på säkerhet som föreskrivs i signaturlagen Återkallelse av certifikat Enligt 10 signaturlagen ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten omedelbart återkalla ett certifikat när undertecknaren begär det eller när det annars finns anledning till det. Enligt 9 1 st. 6 ska

17 17(24) utfärdaren förfoga över ett snabbt och säkert system för registrering och omedelbar återkallelse av kvalificerade certifikat SignGuard har sammanfattningsvis uppgivit följande. Efter en katastrof kan SignGuard återställa driften tack vare att backup genomförs kontinuerligt. Vidare speglas alla datatransaktioner på en annan plats. Vid katastrof tar denna över verksamheten. Om en privat nyckel som används för att utfärda certifikat röjs, kommer alla berörda certifikat att återkallas och certifikatinnehavare kontaktas. SignGuard för en förteckning över alla beställningar och återkallelser. Alla ansökningsformulär kan laddas ner från SignGuards webbplats när användaren är inloggad. Detta säkerställer att certifikatbeställningar för redan registrerade undertecknare är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Förfarandet omfattar även förnyande av certifikat och nycklar efter spärr eller före utgång av certifikatets giltighetstid liksom uppdatering av certifikat på grund av förändring i något av undertecknarens attribut. En certifikatinnehavare kan när som helst spärra sitt certifikat via SignGuards webbplats dygnet runt alla dagar i veckan. En användare måste vara inloggad för att kunna spärra sitt certifikat. Endast certifikatinnehavaren kan spärra ett certifikat och det kan endast ske via webbplatsen. Nya certifikatlistor uppdateras och publiceras minst en gång i timmen. Spärrlistan (CRL) uppdateras omedelbart efter att ett certifikat spärrats på ett godkänt sätt. Den exakta tidpunkten för utfärdande och återkallelse av certifikat registreras. SignGuard erbjuder även en online spärrförfrågningstjänst, s.k. Online Certificate Status Protocol (OCSP). Som framgår ovan är SignGuards certifikat främst avsedda att användas med Skatteverkets identitetskort. Skatteverket har ett samarbete med utfärdaren av de certifikat som placeras på Skatteverkets identitetskort, som innebär att en spärrning av antingen identitetskortet hos Skatteverket eller av certifikatet på kortet hos utfärdaren medför att såväl identitetskort som certifikat spärras. SignGuard kan i sin tur kontrollera kortet eller certifikatets giltighet, via tredjepartstjänster. Vidare åläggs certifikatinnehavaren, i SignGuards allmänna villkor, att omedelbart spärra certifikatet hos SignGuard, vid misstanke om att säkerhetskoden till den privata nyckeln kommit till annans kännedom eller att identitetskortet har kommit i annans besittning.

18 18(24) Att certifikatinnehavaren endast kan återkalla sitt certifikat genom att logga in på SignGuards webbplats innebär en begränsning som kan medföra att återkallelsen fördröjs, om t.ex. certifikatinnehavaren inte har tillgång till Internetuppkoppling eller de inloggningsuppgifter som krävs. Samtidigt minimeras med detta förfarande risken för att obehöriga kan återkalla certifikat. Avvägningen mellan dessa två intressen är viktig. För att ytterligare öka möjligheterna för certifikatinnehavare att vid behov omedelbart återkalla certifikat kan det, enligt PTS mening, vara lämpligt att SignGuard på sikt introducerar fler säkra förfaranden för detta. 3.5 Utfärdarens finansiella ställning Enligt 9 1 st. 4 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten enligt signaturlagen och bära risken för skadeståndsskyldighet. Det finns enligt PTS bedömning inte någon generellt tillämplig norm för vilka ekonomiska medel som krävs för att utfärda kvalificerade certifikat på ett betryggande sätt. Av SignGuards upplysningar framgår att företaget rent faktiskt bedriver en sådan verksamhet och PTS har inte heller funnit något som tyder på att de ekonomiska medel företaget förfrågar över inte är tillräckliga för den dagliga driften. Vad gäller frågan om vilka ekonomiska medel som krävs för att kunna bära risken för skadeståndsskyldighet kan dock följande anmärkas. Som PTS konstaterat ovan är systemet med kvalificerade certifikat tänkt att vara öppet och alltså inte bygga på avtal mellan ett avgränsat antal, på förhand bestämda, deltagare. Den förlitande parten har därför vanligen inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Skadeståndsskyldighet på grund av ren förmögenhetsskada (en skada som inte har samband med en person- eller sakskada) uppkommer i näringslivet vanligen på grund av avtalsbrott. I vissa fall kan dock sådan skadeståndsskyldighet uppkomma även gentemot tredje man. Det gäller enligt rättspraxis bl.a. vid utfärdande av olika former av intyg, där det måste stå klart för den som utfärdar intyget att även andra än uppdragsgivaren kan komma att sätta sin tillit till intyget. 7 Det finns stora likheter mellan elektroniska certifikat och den typ av intyg som i rättspraxis har ansetts medföra skadeståndsansvar gentemot förlitande parter. Även oberoende av specialreglering torde därför risk för sådant 7 Se bl.a. NJA 1987 s. 692.

19 19(24) skadeståndsansvar föreligga för utfärdare av elektroniska certifikat. 8 I 14 1 st. signaturlagen anges emellertid tre uttryckliga kriterier som grundar skadeståndsskyldighet för certifikatutfärdaren. Det rör underlåtelse att uppfylla kraven i 10 rörande utfärdande och återkallelse av certifikat, kraven i 6 avseende utfärdade certifikats utformning samt om utfärdat certifikat innehåller felaktiga uppgifter. SignGuard har, på fråga om företagets möjligheter att bära risken för skadestånd, framfört att denna risk inte kan sägas vara högre än i annan, liknande verksamhet. Detta är, enligt PTS uppfattning, riktigt såtillvida att även utfärdare av icke-kvalificerade certifikat kan drabbas av skadeståndsskyldighet gentemot såväl certifikatinnehavare som förlitande parter. En viktig skillnad föreligger dock i att sådana utfärdare har långtgående möjligheter att i avtal och genom friskrivningar i de utfärdade certifikaten begränsa sin skadeståndsskyldighet. Dessa möjligheter är kraftigt begränsade för utfärdare av kvalificerade certifikat, på grund av bestämmelsen i 15 signaturlagen, enligt vilken avtalsvillkor som i jämförelse med 14 är till nackdel för den som förlitar sig på certifikatet, är utan verkan mot denne. Av 14 2 st. framgår även att en utfärdare av kvalificerade certifikat måste visa att en skada inte har orsakats av vårdslöshet hos utfärdaren själv, för att undgå skadeståndsansvar enligt bestämmelsen. För de i 14 uttryckligt angivna skadefallen gäller alltså en omvänd bevisbörda, s.k. presumtionsansvar, för certifikatutfärdaren. Bestämmelsen innebär en avvikelse från den princip som gäller generellt vid skadeståndsanspråk och torde kunna medföra högre risk att bli ersättningsskyldig för utfärdare av kvalificerade certifikat än för andra certifikatutfärdare. Ytterligare en väsentlig skillnad mot andra, liknande verksamheter ligger i det uttryckliga kravet, i 9 1 st. 4, på att certifikatutfärdaren ska förfoga över tillräckliga ekonomiska medel för att kunna bära risken för skadeståndsskyldighet. Detta torde innebära att det, till skillnad från de allra flesta andra former av affärsrörelser, inte är möjligt att bedriva verksamhet för utfärdande av kvalificerade certifikat på vinst eller förlust. För att de utfärdade certifikaten ska få kallas kvalificerade så krävs alltså att utfärdaren har en viss finansiell ställning. 9 Lagstiftaren har inte närmare angivit vilka ekonomiska medel en certifikatutfärdare behöver förfoga över, för att kunna utfärda kvalificerade certifikat på ett tillförlitligt sätt och bära risken för skadestånd. PTS har inte heller preciserat detta i föreskriftsform. I bilaga II till direktivet om ett 8 Se prop 1999/2000:177 s. 75 och 51 ff. 9 Jfr. 6 1 st. signaturlagen.

20 20(24) gemenskapsramverk för elektroniska signaturer 10 uttrycks emellertid att skyldigheten kan uppfyllas genom en lämplig försäkring. En försäkring som täcker de krav som kan ställas mot en utfärdare med stöd av 14 signaturlagen torde i normalfallet därför vara tillräcklig för att uppfylla kravet i 9 1 st Enligt PTS mening borde det också vara naturligt för utfärdare av kvalificerade certifikat att teckna försäkring mot eventuella skadeståndskrav. SignGuard har emellertid framfört att de inte har kunnat hitta något försäkringsbolag som är villigt att försäkra utfärdarverksamheten. Enligt uppgift från företaget så anser svenska försäkringsbolag att det saknas tillräcklig kunskap om vilka risker som är förenade med utfärdarverksamheten. SignGuard har även kontaktat försäkringsbolag i länder där kvalificerade certifikat utfärdas i större utsträckning än i Sverige, men har inte heller där kunnat teckna någon försäkring, eftersom dessa bolag har uppgett sig sakna tillräckliga kunskaper om svenska förhållanden. PTS har inte närmare utrett möjligheterna att teckna en lämplig försäkring i Sverige. Myndigheten kan dock konstatera att svårigheter med att teckna försäkring sannolikt skulle verka hämmande för utvecklingen på marknaden för kvalificerade certifikat. Försäkring utgör dock bara ett möjligt sätt att uppfylla kraven på att förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten. Att en försäkring av någon anledning inte kunnat tecknas, kan inte medföra att dessa krav ställs lägre än vad som annars skulle ha varit fallet. Bedömningen av vilka ekonomiska medel som ska anses tillräckliga torde vara beroende av verksamhetens omfattning. Samtidigt menar PTS att vissa minimikrav bör ställas även på nystartade certifikatutfärdare som ännu inte har utfärdat ett stort antal certifikat. Detta är inte minst viktigt för att skapa grund för den tillit till de kvalificerade certifikaten som utgör grunden för hela systemet. Det bör också hållas i åtanke att lagstiftningen om kvalificerade certifikat bygger på ett EG-direktiv som tillkommit för att bidra till rättsligt erkännande av elektroniska signaturer över nationsgränser. Det är därför även av vikt att kvalificerade certifikat som utfärdas i Sverige vinner tillit även i andra medlemsstater. I det sammanhanget kan anmärkas att det i vissa medlemsstater, enligt vad PTS erfar, ställs krav på att utfärdare av kvalificerade certifikat dels ska teckna försäkringar som täcker skadeståndskrav på i storleksordningen 1-10 miljoner kronor samt dels ha ett eget kapital i storleksordningen 100 miljoner kronor. 10 Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer. 11 Se prop. 1999/2000:117 s. 73.

21 21(24) PTS vill dock betona att det i beräkningen av vilka krav som ska ställas i det enskilda fallet är rimligt att även ta hänsyn till en bedömning av hur stora riskerna i den aktuella verksamheten är. Det är rimligt att därvid räkna med att riskerna växer i paritet med antalet utfärdade certifikat. Den ekonomiska risken förknippad med varje certifikat är även beroende av till vad certifikatet kommer att användas, något som kan vara svårt för utfärdaren att förutse. Av 14 2 st. jämförd med 12 1 st. 1 och 6 1 st. 9 framgår emellertid att certifikatutfärdaren kan ange begränsningar för de utfärdade kvalificerade certifikatens användningsområde eller transaktionsbelopp. När certifikatutfärdaren har angett sådana begränsningar tydligt i själva certifikatet, är utfärdaren inte skadeståndsskyldig för skada som härrör från att certifikatet använts i strid med begränsningarna. Dessa bestämmelser ger certifikatutfärdaren vissa möjligheter att begränsa sin risk. Begränsningarna kan anpassas efter behov och det finns inget krav på att en certifikatutfärdare måste tillämpa samma begränsningar för alla certifikat som utfärdas. Beroende på hur kundkretsen ser ut kan utfärdaren göra en bedömning av om begränsning ska ske av användningsområden för certifikatet eller av de transaktionsbelopp certifikatet får användas för. Även andra faktorer kan påverka riskbedömningen. PTS kan t.ex. notera att SignGuard till stor del använder sig av underleverantörer i utfärdarverksamheten. Detta kan påverka riskerna i verksamheten i såväl positiv som negativ riktning men det finns, enligt myndighetens uppfattning, inga principiella skäl som alltid talar emot användning av underleverantörer. Det torde utan tvivel vara så att en certifikatutfärdare, inte minst när verksamheten är nystartad, kan dra stor nytta av att anlita erfarna underleverantörer. PTS kan dock notera att det, enligt vad myndigheten erfar, i vissa andra medlemsstater överhuvudtaget inte är tillåtet att lägga ut kritiska delar av certifikatutfärdarverksamheten på utomstående. I relation till risken för skadestånd kan också en utfärdare försättas i en sämre sits om en underleverantör anlitats för något av de moment som omfattas av utfärdarens presumtionsansvar i 14. I en sådan situation kan utfärdaren vara beroende av underleverantören för att samla den bevisning som krävs för att utfärdaren ska gå fri från ansvar. Det är viktigt att utfärdaren i avtal med underleverantörer säkerställer att de senare bistår i det arbetet. Det finns dock inga garantier för att bevisningen alltid är tillräcklig och risken kan därför kvarstå för att utfärdaren i vissa fall befinns skadeståndsansvarig. I sådana fall är det väsentligt att utfärdaren i avtal även har tillförsäkrat sig regressrätt gentemot underleverantören, dvs. en rätt att kräva att underleverantören ersätter utfärdaren med motsvarande det utdömda skadeståndsbeloppet.

22 22(24) Om så skulle ske, finns dock en risk för att tvist även uppstår mellan certifikatutfärdare och underleverantör; inte minst i de fall där parterna först samarbetat gentemot den skadelidande, för att samla bevisning till stöd för att någon vårdslöshet inte förelegat. Det är givetvis viktigt att avtalet mellan parterna i detta avseende är tydligt, men en tvist kan normalt inte helt uteslutas. En konsekvens av detta kan vara att certifikatutfärdaren, i de fall denne har begränsade ekonomiska tillgångar, riskerar att drabbas av likviditetsproblem, till följd av att utfärdaren är tvungen att betala ut skadestånd till den skadelidande innan tvisten med underleverantören slutligt har avgjorts. Som nämnts ovan saknar SignGuard försäkring mot de eventuella skadeståndskrav som följer av verksamheten. Av företagets bokslut per den 31 december 2008 framgår att de totala tillgångarna uppgår till drygt tre miljoner kronor. PTS har under ärendets handläggning fört en dialog med SignGuard angående de finansiella förutsättningarna för att bedriva verksamheten. Företaget har därefter vidtagit åtgärder i syfte att säkerställa att verksamheten efterlever signaturlagens krav. SignGuard har sammanfattningsvis uppgivit följande. Sedan den 23 mars 2010 innehåller samtliga utfärdade certifikat tillägget OID (PKIX Warranty Certificate Extension) SignGuard begränsar genom detta tillägg sitt ansvar gentemot förlitande part till ett värde av maximalt 100 per certifikat. Giltighetstiden är identisk med certifikatets giltighetstid (2 år). Parametern aggregated (0) har också definierats. Detta innebär att SignGuard har minskat sin risk vid ett eventuellt skadeståndsförfarande till maximalt 100 per certifikat. Företagets policy, Certificate Practice Statement (CPS) och slutkundsavtal har också uppdaterats med denna begränsning. Vidare har SignGuard ingått ett avtal med underleverantören som handhar driften av certifikatutfärdarverksamheten. Enligt avtalet åtar sig underleverantören att hålla SignGuard skadefri för det fall SignGuard skulle befinnas skadeståndsskyldig, till följd av underleverantörens agerande eller underlåtelse att agera. Vidare åtar sig underleverantören att hålla dennes verksamhet försäkrad mot bl.a. försumlighet. SignGuard har också lämnat uppgifter om antalet kvalificerade certifikat som hittills utfärdats inom ramen för företagets verksamhet. Det rör sig, enligt PTS mening, om ett i sammanhanget mycket begränsat antal certifikat. SignGuard har även lämnat en prognos för antalet certifikat som kommer att utfärdas under det kommande året. Prognosen tyder på att det totala antalet utfärdade certifikat även inom den närmaste framtiden kommer att hållas på en låg nivå. Sammanfattningsvis kan PTS konstatera att SignGuard förfogar över begräsande tillgångar och därtill saknar försäkring för utfärdarverksamheten. Samtidigt minskas företagets riskexponering av att ett begränsat antal certifikat

23 23(24) har utfärdats, en beloppsbegränsning har införts i de utfärdade certifikaten och att underleverantören har åtagit sig ett tydligt ansvar för skadeståndskrav. Vid en avvägning mellan samtliga omständigheter finner PTS att SignGuard för närvarande får anses förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten och bära risken för skadeståndsskyldighet. PTS vill dock betona att det är nödvändigt att SignGuard, kontinuerligt i takt med att verksamheten, och därmed även företagets riskexponering, växer, förstärker de ekonomiska tillgångarna eller på annat sätt säkerställer att verksamhetens finansiella ställning vidmakthålls eller förbättras. Inom ramen för myndighetens fortsatta tillsynsarbete, har PTS för avsikt att regelbundet begära en redovisning av uppgifter rörande SignGuards finansiella ställning, inklusive företagets riskexponering, och göra en förnyad bedömning av företagets förmåga att bedriva verksamheten och bära risken för skadeståndsskyldighet. Om SignGuards utfärdarverksamhet växer torde en försäkring på sikt komma att utgöra en nödvändighet. PTS har för avsikt att utreda de generella möjligheterna för utfärdare av kvalificerade certifikat i Sverige att erhålla försäkring mot det skadeståndsansvar som kan uppkomma inom verksamheten. Staffan Lindmark

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn efter inträffad integritetsincident i fakturasystem BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken

Läs mer

Kammarkollegiets författningssamling

Kammarkollegiets författningssamling Kammarkollegiets författningssamling ISSN 1402-5345 ISSN 1654-9325 (on line) Utgivare: Bertil Kallner, Kammarkollegiet Fastighetsmäklarnämndens föreskrifter om åtgärder mot penningtvätt och finansiering

Läs mer

Regler för momshantering vid e-fakturering inom EU

Regler för momshantering vid e-fakturering inom EU Regler för momshantering vid e-fakturering inom EU NEA seminarium 6 mars 2007 Mats Holmlund 08-440 41 59 1 Momslagen och EG-rätten Mervärdesskattelagen 1968/1994 Sjätte mervärdesskattedirektivet - 1967

Läs mer

Allmänna Villkor för Tjänsten

Allmänna Villkor för Tjänsten Allmänna Villkor för Tjänsten 2014-12-23 1. OMFATTNING OCH DEFINITIONER 1.1. Dessa Allmänna Villkor för Kund gäller när Joblife AB (nedan kallad Joblife ) ger privatpersoner ( Användare ) tillgång till

Läs mer

Tillämpningsområde och definitioner

Tillämpningsområde och definitioner 2013-xx-xx Fastighetsmäklarinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; beslutade den X xxxx 2013. Fastighetsmäklarinspektionen föreskriver 1 följande med stöd

Läs mer

Ombud: Advokaten Andreas Hagen, Advokatfirman Inter, Box 87, 101 21 Stockholm

Ombud: Advokaten Andreas Hagen, Advokatfirman Inter, Box 87, 101 21 Stockholm KKV2023, v1.1, 2010-05-05 BESLUT 2010-12-15 Dnr 402/2010 1 (6) Part Make Up Store AB, org. nr. 556437-6795, Kungsgatan 5, 111 43 Stockholm Ombud: Advokaten Andreas Hagen, Advokatfirman Inter, Box 87, 101

Läs mer

Behörighet i Alectas internetkontor - Ombud

Behörighet i Alectas internetkontor - Ombud Behörighet i Alectas internetkontor - Ombud Nyanmälan. Vi anmäler oss till internetkontoret för första gången. Byte av behörighetsansvarig. Avregistrera nuvarande behörighetsansvarig (i samband med byte

Läs mer

Identifiering vid fondval och fondbyte på Pensionsmyndighetens webbplats

Identifiering vid fondval och fondbyte på Pensionsmyndighetens webbplats 1 (7) Konsekvensutredning Identifiering vid fondval och fondbyte på Pensionsmyndighetens webbplats Beskrivning av problemet och vad man vill uppnå Pensionsmyndigheten har för avsikt att införa ett krav

Läs mer

Svensk författningssamling

Svensk författningssamling SFS 0668-0666.fm Page 1 Tuesday, June 7, 2011 3:31 PM Svensk författningssamling Fastighetsmäklarförordning; utfärdad den 19 maj 2011. Utkom från trycket den 10 juni 2011 Regeringen föreskriver 1 följande.

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Bilaga 3 till Cirkulär 09:46 1 (5)

Bilaga 3 till Cirkulär 09:46 1 (5) 1 (5) Prop. 2008/09:187 Förslag till lag om tjänster på den inre marknaden Härigenom föreskrivs följande. Inledande bestämmelse 1 Denna lag innehåller allmänna bestämmelser avseende tjänster som omfattas

Läs mer

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism 2013-11-12 BESLUTSPROMEMORIA Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism FI Dnr 13-6295 Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan 3] Tel +46 8 787 80

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism 2013-09-09 R E M I S S P R O M E M O R I A FI Dnr 13-6295 Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan

Läs mer

Regeringens proposition 1999/2000:117

Regeringens proposition 1999/2000:117 Regeringens proposition 1999/2000:117 Lag om kvalificerade elektroniska signaturer, m.m. Prop. 1999/2000:117 Regeringen överlämnar denna proposition till riksdagen. Malmö den 18 maj 2000 Göran Persson

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om insyn i vissa finansiella förbindelser m.m.; SFS 2005:590 Utkom från trycket den 5 juli 2005 utfärdad den 22 juni 2005. Enligt riksdagens beslut 1 föreskrivs 2 följande.

Läs mer

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens

Läs mer

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk Version: 1.3 BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3

Läs mer

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-03-28 Dnr 114-2011 Försvararsamtal BAKGRUND Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) har Säkerhets-

Läs mer

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15 Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:

Läs mer

Valfrihetssystem inom boendestöd. Boendestöd - Kapitel 2 Kravkatalog - Utförare

Valfrihetssystem inom boendestöd. Boendestöd - Kapitel 2 Kravkatalog - Utförare UPPDRAGSBESKRIVNING 1 (8) Dnr: 2014:115 Valfrihetssystem inom boendestöd Boendestöd - Kapitel 2 Kravkatalog - Utförare Socialtjänsten Sociala avdelningen Postadress Besöksadress Telefon (vx) Fax 451 81

Läs mer

En praktisk vägledning. Europeiskt Rättsligt Nätverk på privaträttens område

En praktisk vägledning. Europeiskt Rättsligt Nätverk på privaträttens område Användning av videokonferenser vid bevisupptagning i mål och ärenden av civil eller kommersiell natur enligt rådets förordning (EG) nr 1206/2001 av den 28 maj 2001 En praktisk vägledning Europeiskt Rättsligt

Läs mer

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-06-14 Dnr 139-2011 Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämndens

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

Förslagen föranleder följande yttrande av Lagrådet:

Förslagen föranleder följande yttrande av Lagrådet: 1 LAGRÅDET Utdrag ur protokoll vid sammanträde 2011-04-14 Närvarande: F.d. justitierådet Inger Nyström, f.d. regeringsrådet Lars Wennerström och justitierådet Eskil Nord. Investeringsfondsfrågor Enligt

Läs mer

1.2 Fastighetsägaren får genom Fibergruppens nät möjlighet att ingå avtal med Tjänsteleverantör om att erhålla Bredbandstjänster.

1.2 Fastighetsägaren får genom Fibergruppens nät möjlighet att ingå avtal med Tjänsteleverantör om att erhålla Bredbandstjänster. Allmänna villkor för Fibergruppen nät Rev 2012-12-20 1 Inledning 1.1 Dessa allmänna villkor gäller då Fibergruppen Sverige AB ( Fibergruppen ) till en småhusägare ( Fastighetsägaren ) tillhandahåller installation

Läs mer

Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF)

Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF) PROMEMORIA Datum 2013-06-27 uppdaterad 2014-01-08 och 2014-06-02 Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF) Finansinspektionen Box 7821 SE-103

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om ändring i lagen (2004:1199) om handel med utsläppsrätter; SFS 2011:1103 Utkom från trycket den 8 november 2011 utfärdad den 27 oktober 2011. Enligt riksdagens beslut 1

Läs mer

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation Tillitsramverk för Svensk e-legitimation 1 (11) 2 (11) 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering

Läs mer

Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter

Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter Myndighetens namn Energimyndigheten 079-11-1461 Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter En konsekvensutredning ska innehålla följande 1. A Beskrivning

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer

Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se

Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se ISSN 1102-0970 Statens jordbruksverks föreskrifter (SJVFS XX:Y) om officiella veterinärer;

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

http://iwww.rsv.se:82/samset/myndigh_anv.html

http://iwww.rsv.se:82/samset/myndigh_anv.html Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare

Läs mer

KONKURRENSVERKET. Ansökan om upphandlingsskadeavgift ANSÖKAN. Sökande. Motpart. Saken. Yrkande. Förvaltningsrätten i Stockholm 115 76 Stockholm

KONKURRENSVERKET. Ansökan om upphandlingsskadeavgift ANSÖKAN. Sökande. Motpart. Saken. Yrkande. Förvaltningsrätten i Stockholm 115 76 Stockholm ANSÖKAN Swedish Competition Authority 2011-11-18 Dnr 702/11 1(8) Förvaltningsrätten i Stockholm 115 76 Stockholm Ansökan om upphandlingsskadeavgift Sökande Konkurrensverket, 103 85 Stockholm Motpart Försvarsmakten,

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (9) meddelad i Stockholm den 16 september 2014 KLAGANDE Socialstyrelsen 106 30 Stockholm MOTPART AA ÖVERKLAGAT AVGÖRANDE Kammarrätten i Stockholms beslut den 11 mars

Läs mer

Registrering för tillfällig verksamhet som fastighetsmäklare i Sverige

Registrering för tillfällig verksamhet som fastighetsmäklare i Sverige Bra för i utlandet etablerade fastighetsmäklare att veta om Registrering för tillfällig verksamhet som fastighetsmäklare i Sverige Detta faktablad innehåller kortfattad information om vad som gäller för

Läs mer

Kommittédirektiv. Översyn av regelverken om elsäkerhet och behörigheten att utföra elektriska installationer. Dir. 2013:81

Kommittédirektiv. Översyn av regelverken om elsäkerhet och behörigheten att utföra elektriska installationer. Dir. 2013:81 Kommittédirektiv Översyn av regelverken om elsäkerhet och behörigheten att utföra elektriska installationer Dir. 2013:81 Beslut vid regeringssammanträde den 22 augusti 2013 Sammanfattning Nuvarande bestämmelser

Läs mer

Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m.

Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m. Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m. SFS nr: 2005:590 Departement/myndighet: Näringsdepartementet Utfärdad: 2005-06-22 Observera att det kan förekomma fel i författningstexterna.

Läs mer

Allmänna villkor Hosting

Allmänna villkor Hosting Allmänna villkor Hosting 1 Allmänt 2 Tjänsterna 3 Avtalstid och uppsägning 4 Domännamn 5 Avgifter 6 Överlåtelse av Tjänsterna 7 Leafstudios ansvar 8 Kunds ansvar 9 Force majeure 10 Övrigt 1 Allmänt 1.

Läs mer

ALLMÄNNA BESTÄMMELSER

ALLMÄNNA BESTÄMMELSER ALLMÄNNA BESTÄMMELSER 1. INLEDNING 1.1 Dessa Allmänna bestämmelser utgör avtalsvillkor i de abonnemangsavtal om tjänster hänförliga till domännamn registrerade under toppdomänen.se, som ni ingått med Nictrade

Läs mer

Värdepappersmarknaden MiFID II och MiFIR SOU 2015:2

Värdepappersmarknaden MiFID II och MiFIR SOU 2015:2 1 YTTRANDE 2015-05-11 Finansdepartementet Fi2015/578 103 33 Stockholm Värdepappersmarknaden MiFID II och MiFIR SOU 2015:2 InsureSec AB (InsureSec) har beretts möjlighet att lämna synpunkter på Värdepappersmarknadsutredningens

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen CIRKULÄR A 01/2009 Till Trafikförsäkringsföreningens medlemmar Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet) är en branschorganisation

Läs mer

Arbetsinstruktion för officiella veterinärer anställda av Jordbruksverket

Arbetsinstruktion för officiella veterinärer anställda av Jordbruksverket 1(6) JORDBRUKSVERKETS INTERNA REGLER Dnr 5.1.17-4405/15 2015-05-21 Arbetsinstruktion för officiella veterinärer anställda av Jordbruksverket Jordbruksverkets interna regler är bindande och måste följas

Läs mer

Verkskansliet Datum Dnr RA 230-2011/4207 2011-09-15 Ulrika Sturesdotter Andersson

Verkskansliet Datum Dnr RA 230-2011/4207 2011-09-15 Ulrika Sturesdotter Andersson PM Verkskansliet Datum Dnr RA 230-2011/4207 2011-09-15 Ulrika Sturesdotter Andersson Gallring av EU-revisionsunderlag Riksarkivet får ibland frågor om hur myndigheterna ska hantera handlingar som kan vara

Läs mer

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter EUROPEISKA KOMMISSIONEN GENERALDIREKTORAT XV Inre marknad och finansiella tjänster Fri rörlighet för informationstjänster. Bolagsrätt och finansiell information. Fri rörlighet för information, datasäkerhet

Läs mer

Utdrag ur protokoll vid sammanträde 2014-12-17. Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Johnny Herre.

Utdrag ur protokoll vid sammanträde 2014-12-17. Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Johnny Herre. 1 LAGRÅDET Utdrag ur protokoll vid sammanträde 2014-12-17 Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Johnny Herre. Nya administrativa sanktioner på finansmarknadsområdet

Läs mer

Förvaringsinstitut och delegering

Förvaringsinstitut och delegering Förvaringsinstitut och delegering 2004-09-20 - en vägledning INNEHÅLL SAMMANFATTNING 1 BAKGRUND 1 FÖRVARINGSINSTITUTETS UPPGIFTER 1 PRIME BROKERAGEAVTAL 2 FÖRVARINGSINSTITUTETS MÖJLIGHETER ATT DELEGERA

Läs mer

Avtal distribution m.m. av trycksaker. Box 27215 102 53 Stockholm

Avtal distribution m.m. av trycksaker. Box 27215 102 53 Stockholm AVTALSUTKAST Dnr Adm 2008/70 Bilaga 1 Avtal distribution m.m. av trycksaker 1. Avtalsparter Statens kulturråd Box 27215 102 53 Stockholm Organisationsnummer 202100-1280 Distributören Organisationsnummer

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om försäkringsförmedling; SFS 2005:411 Utkom från trycket den 14 juni 2005 utfärdad den 2 juni 2005. Regeringen föreskriver följande. 1 kap. Definitioner 1 I denna

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om kassaregister m.m.; SFS 2007:592 Utkom från trycket den 27 juni 2007 utfärdad den 14 juni 2007. Enligt riksdagens beslut 1 föreskrivs 2 följande. Lagens tillämpningsområde

Läs mer

Genomförande av tjänstedirektivet

Genomförande av tjänstedirektivet NÄRINGSLIVSKONTORET 2008-11-21 Reviderad 2008-12-03 Ann-Charlotte Gjöthlén Näringslivschef 08-550 224 05 Ann-charlotte.gjothlen@sodertalje.se Kommunstyrelsen Genomförande av tjänstedirektivet KS 2008:75

Läs mer

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29)

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29) 02318/09/SV WP167 Yttrande 8/2009 Om skydd av personuppgifter insamlade och behandlade av skattefria butiker

Läs mer

Justitiekanslem avslår Vincent da Paul Fotsos anspråk på skadestånd.

Justitiekanslem avslår Vincent da Paul Fotsos anspråk på skadestånd. BESLUT Datum 2009-04-09 8684-07-40 SVENSKT MEDBORGARSKAP Justitiekanslerns beslut Justitiekanslem avslår Vincent da Paul Fotsos anspråk på skadestånd. Ärendet Bakgrund Anspråk tilläggsprotokoll. Postadress

Läs mer

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140 Kommittédirektiv Nya regler om åtgärder mot penningtvätt och finansiering av terrorism Dir. 2014:140 Beslut vid regeringssammanträde den 30 oktober 2014 Sammanfattning En särskild utredare ska lämna förslag

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Yttrande över betänkandet Resolution - en ny metod för att hantera banker i kris (SOU 2014:52)

Yttrande över betänkandet Resolution - en ny metod för att hantera banker i kris (SOU 2014:52) YTTRANDE 1 (5) Regeringskansliet Finansdepartementet 103 33 Stockholm Yttrande över betänkandet Resolution - en ny metod för att hantera banker i kris (SOU 2014:52) (Fi2014/2275) Inledande synpunkter Hovrätten

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Valfrihetssystem inom hemtjänst i Vårgårda kommun

Valfrihetssystem inom hemtjänst i Vårgårda kommun Sida 1(7) Valfrihetssystem inom hemtjänst i Vårgårda kommun Kapitel 2 Kravkatalog Utförare 2(7) Innehållsförteckning 2 Kravkatalog utförare...3 2.1 Krav på juridisk form...3 2.2 Uteslutningsgrunder...3

Läs mer

E-tjänster - juridiska lösningar för kommuner och landsting

E-tjänster - juridiska lösningar för kommuner och landsting E-tjänster - juridiska lösningar för kommuner och landsting Det behövs en helhetssyn - hur göra tekniska standarder och säkerhetslösningar, förvaltningspolitiska analyser och strävanden, rättsteoretiska

Läs mer

Manual Beställning av certifikat (HCC) till reservkort

Manual Beställning av certifikat (HCC) till reservkort Manual Beställning av certifikat (HCC) till reservkort Landstinget Västmanland INNEHÅLLSFÖRTECKNING 1 REVISIONSHISTORIK... 3 2 INTRODUKTION... 4 3 UTFÄRDA RESERVKORT... 4 3.1 BESTÄLLNINGSUPPDRAG... 4 3.2

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

---f----- Rättssekretariatet Rue de la Loi 200 B-l049 BRYSSEL Belgien

---f----- Rättssekretariatet Rue de la Loi 200 B-l049 BRYSSEL Belgien ---f----- REG ERI NGSKANSLIET 2010-01-20 Utri kesdepartementet Europeiska kommissionen Generalsekretariatet Rättssekretariatet Rue de la Loi 200 B-l049 BRYSSEL Belgien Svar på motiverat yttrande angående

Läs mer

Föreläggande mot Skellefteå Kraft AB med anledning av bristfällig information till konsumenter

Föreläggande mot Skellefteå Kraft AB med anledning av bristfällig information till konsumenter BESLUT 1 (5) Skellefteå Kraft Kanalgatan 71 931 80 Skellefteå Föreläggande mot Skellefteå Kraft AB med anledning av bristfällig information till konsumenter Beslut Energimarknadsinspektionen (Ei) förelägger

Läs mer

Uppdateringar nya standarden ISO/IEC 17020:2012

Uppdateringar nya standarden ISO/IEC 17020:2012 Uppdateringar nya standarden ISO/IEC 17020:2012 Nu börjar vi närma oss en del av omfattningen av de förändringar som skett efter att ISO/IEC 17020:2012 trätt i kraft den 1:a oktober. Detta är den första

Läs mer

4. Ansvarsförsäkring Med tillägg till allmänna villkor avsnitt 4 Ansvarsförsäkring, gäller för VD- och styrelseansvarsförsäkringen följande.

4. Ansvarsförsäkring Med tillägg till allmänna villkor avsnitt 4 Ansvarsförsäkring, gäller för VD- och styrelseansvarsförsäkringen följande. Särskilt villkor Gäller från 2009-04-01 Genom detta särskilda villkor utökas försäkringen att omfatta VD och styrelseledamots ansvar vid skadeståndsskyldighet för ren förmögenhetsskada i försäkrat aktiebolag.

Läs mer

BILAGA V-B RIKTLINJER FÖR INTYG ÖVER METODEN

BILAGA V-B RIKTLINJER FÖR INTYG ÖVER METODEN EFR-BIDRAGSAVTAL BILAGA V-B RIKTLINJER FÖR INTYG ÖVER METODEN INNEHÅLLSFÖRTECKNING RIKTLINJER FÖR EN OBEROENDE RAPPORT OM DE FAKTISKA RESULTATEN RÖRANDE METODEN FÖR ETT EFR-BIDRAGSAVTAL SOM FINANSIERAS

Läs mer

Styrelsens för ackreditering och teknisk kontroll författningssamling

Styrelsens för ackreditering och teknisk kontroll författningssamling Styrelsens för ackreditering och teknisk kontroll författningssamling ISSN 1400-4682 Utgivare: Gerda Lind STAFS 2013:xx Utkom från trycket den xx månad 20XX Föreskrifter om ändring i Styrelsens för ackreditering

Läs mer

Ändringar i övergångsbestämmelsen i Finansinspektionens

Ändringar i övergångsbestämmelsen i Finansinspektionens 2014-10-16 REMISSPROMEMORIA FI Dnr 14-7475 Ändringar i övergångsbestämmelsen i Finansinspektionens föreskrifter (FFFS 2007:17) om verksamhet på marknadsplatser Finansinspektionen Box 7821 SE-103 97 Stockholm

Läs mer

HÖGSTA DOMSTOLENS BESLUT

HÖGSTA DOMSTOLENS BESLUT Sida 1 (8) HÖGSTA DOMSTOLENS BESLUT Mål nr meddelat i Stockholm den 22 december 2014 Ö 4853-13 ANMÄLARE Stockholms tingsrätt, avd 4 Box 8307 104 20 Stockholm PARTER Kärande vid tingsrätten Ekonomigruppen

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (7) meddelad i Stockholm den 1 oktober 2015 KLAGANDE Avonova Hälsa AB, 556500-6821 Ombud: Advokat Henrik Gallus Advokatfirman Kjällgren i Lidköping AB Älvgatan 16 531

Läs mer

LO, TCO och Sacos gemensamma yttrande angående Promemoria förordning om ändring av förordningen (1992:308) om utländska filialer m.m.

LO, TCO och Sacos gemensamma yttrande angående Promemoria förordning om ändring av förordningen (1992:308) om utländska filialer m.m. LO, TCO och Sacos gemensamma yttrande angående Promemoria förordning om ändring av förordningen (1992:308) om utländska filialer m.m. Näringsdepartementets promemoria Inom Näringsdepartementet har upprättats

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om åtgärder mot penningtvätt och finansiering av

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Översyn av personliga transaktionskonton i SUS inför det EU-gemensamma utsläppshandelsregistret

Översyn av personliga transaktionskonton i SUS inför det EU-gemensamma utsläppshandelsregistret 2011-11-08 1 (6) Tillväxtavdelningen Översyn av personliga transaktionskonton i SUS inför det EU-gemensamma utsläppshandelsregistret Från och med 1 januari 2012 kommer SUS ersättas av ett gemensamt utsläppsrättsregister

Läs mer

Nya regler för momsfakturor och för lagring av räkenskapsinformation

Nya regler för momsfakturor och för lagring av räkenskapsinformation 1 Nya regler för momsfakturor och för lagring av räkenskapsinformation Riksdagen antog i december 2003 regeringens proposition 2003/2004:26 om nya regler för fakturor när det gäller mervärdesskatt. De

Läs mer

Förslagen föranleder följande yttrande av Lagrådet:

Förslagen föranleder följande yttrande av Lagrådet: 1 LAGRÅDET Utdrag ur protokoll vid sammanträde 2010-09-20 Närvarande: F.d. regeringsrådet Rune Lavin, regeringsrådet Carina Stävberg och justitierådet Ella Nyström. Alkolås vid rattfylleri Enligt en lagrådsremiss

Läs mer

HÖGSTA DOMSTOLENS DOM

HÖGSTA DOMSTOLENS DOM Sida 1 (8) HÖGSTA DOMSTOLENS DOM Mål nr meddelad i Stockholm den 19 december 2013 T 1831-12 KLAGANDE Fondförsäkringsaktiebolaget SEB Trygg Liv, 516401-8243 106 40 Stockholm Ombud: Advokaterna HF och GJ

Läs mer

Övergångsvis dokumenthantering vid flyttningar under punktskatteuppskov

Övergångsvis dokumenthantering vid flyttningar under punktskatteuppskov Finansdepartementet Skatte- och tullavdelningen Övergångsvis dokumenthantering vid flyttningar under punktskatteuppskov December 2009 1 Innehållsförteckning 1 Sammanfattning...3 2 Lagtext...4 2.1 Förslag

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om åtgärder för att förebygga och begränsa följderna av allvarliga kemikalieolyckor; SFS 1999:381 Utkom från trycket den 14 juni 1999 utfärdad den 27 maj 1999. Enligt riksdagens

Läs mer

ALLMÄNNA AVTALSVILLKOR FÖR KONSULTUPPDRAG VID PTS

ALLMÄNNA AVTALSVILLKOR FÖR KONSULTUPPDRAG VID PTS ALLMÄNNA AVTALSVILLKOR FÖR KONSULTUPPDRAG VID PTS Tillämplighet 1 Dessa villkor ska tillämpas om något annat inte avtalats mellan parterna. Definitioner 2 I villkoren förstås med Avtalet Konsultföretag

Läs mer

E-HANDEL OCH FINANSIELLA TJÄNSTER. MARKT/2094/01 SV Orig. EN

E-HANDEL OCH FINANSIELLA TJÄNSTER. MARKT/2094/01 SV Orig. EN E-HANDEL OCH FINANSIELLA TJÄNSTER MARKT/2094/01 SV Orig. EN Syftet med detta dokument I detta dokument beskrivs den nuvarande situationen beträffande e-handel och finansiella tjänster samt den särskilda

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Villkor för Visma Webbfakturering tilläggsavtal till Användarvillkor för Visma Spcs webbplatser Visma Spcs AB (556252-9155) 2015-04-16

Villkor för Visma Webbfakturering tilläggsavtal till Användarvillkor för Visma Spcs webbplatser Visma Spcs AB (556252-9155) 2015-04-16 Villkor för Visma Webbfakturering tilläggsavtal till Användarvillkor för Visma Spcs webbplatser Visma Spcs AB (556252-9155) 2015-04-16 Detta avtal utgör, tillsammans med avtalet Användarvillkor för Visma

Läs mer

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt PROMEMORIA Datum 2007-04-13 Författare Ruth Yosef Ny funktionalitet för Finansinspektionens offentliggörande av prospekt Finansinspektionen P.O. Box 6750 SE-113 85 Stockholm [Sveavägen 167] Tel +46 8 787

Läs mer

Behörighetsanmälan för Alectas internetkontor Företag

Behörighetsanmälan för Alectas internetkontor Företag Behörighetsanmälan för Alectas internetkontor Företag * Obligatorisk uppgift Vi anmäler oss till internetkontoret för första gången. Vi vill byta behörighetsansvarig. Vi vill lägga till eller ta bort kundnummer.

Läs mer

Riktlinjer om behandling av anknutna företag, inklusive ägarintressen

Riktlinjer om behandling av anknutna företag, inklusive ägarintressen EIOPA-BoS-14/170 SV Riktlinjer om behandling av anknutna företag, inklusive ägarintressen EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax. + 49 69-951119-19;

Läs mer

1.1 Dessa allmänna villkor gäller för alla tjänster som Umbra Juridiska med

1.1 Dessa allmänna villkor gäller för alla tjänster som Umbra Juridiska med Allmänna villkor Giltiga från och med den 5 mars 2015 Villkoren omfattar elva (11) punkter och fem (5) sidor 1. Tillämplighet 1.1 Dessa allmänna villkor gäller för alla tjänster som Umbra Juridiska med

Läs mer

Stockholm den 13 februari 2007 R-2006/1365. Till Finansdepartementet

Stockholm den 13 februari 2007 R-2006/1365. Till Finansdepartementet R-2006/1365 Stockholm den 13 februari 2007 Till Finansdepartementet Sveriges advokatsamfund har genom remiss den 15 november 2006 beretts tillfälle att lämna synpunkter på Svenskt Näringslivs promemoria

Läs mer

Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se

Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se Statens jordbruksverks författningssamling Statens jordbruksverk 551 82 Jönköping Tfn 036-15 50 00 www.jordbruksverket.se ISSN 1102-0970 Statens jordbruksverks föreskrifter om säkerheter för jordbruksprodukter;

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

2014-03- 24 ANSÖKAN OM GODKÄNNANDE AV PSYKOTERAPI INOM LOV ÖREBRO LÄN

2014-03- 24 ANSÖKAN OM GODKÄNNANDE AV PSYKOTERAPI INOM LOV ÖREBRO LÄN ANSÖKAN OM GODKÄNNANDE AV PSYKOTERAPI INOM LOV ÖREBRO LÄN Ansökan kan delvis fyllas i elektroniskt men måste skrivas ut för underskrift. Efterfrågade uppgifter och intyg ska biläggas ansökan. Ansökan med

Läs mer

Energimyndighetens föreskrifter om energikartläggning i stora företag

Energimyndighetens föreskrifter om energikartläggning i stora företag Till: Energimyndigheten Box 310 631 04 Eskilstuna REMISSYTTRANDE Energimyndighetens föreskrifter om energikartläggning i stora företag SABOs synpunkter Allmänt SABOs medlemsföretag de allmännyttiga kommunala

Läs mer

Skydd av personuppgifter för användare som registrerats av EU-kommissionens identitetshanteringstjänst (Identity Management Service)

Skydd av personuppgifter för användare som registrerats av EU-kommissionens identitetshanteringstjänst (Identity Management Service) Skydd av personuppgifter Skydd av personuppgifter för användare som registrerats av EU-kommissionens identitetshanteringstjänst (Identity Management Service) 1. Vad är identitetshanteringstjänsten? EU-kommissionens

Läs mer

5933/4/15 REV 4 ADD 1 SN/cs 1 DPG

5933/4/15 REV 4 ADD 1 SN/cs 1 DPG Europeiska unionens råd Bryssel den 28 april 2015 (OR. en) Interinstitutionellt ärende: 2013/0025 (COD) 5933/4/15 REV 4 ADD 1 RÅDETS MOTIVERING Ärende: EF 26 ECOFIN 70 DROIPEN 14 CRIMORG 16 CODEC 142 PARLNAT

Läs mer

Molntjänster från gazoo HB

Molntjänster från gazoo HB Molntjänster från gazoo HB Extern Lagring Avtalsvillkor för molntjänsten Extern Lagring. 1. Allmänt 1.1 1.1 Dessa villkor reglerar förhållandet mellan Abonnent och gazoo HB, org. nr 969718-5438 (nedan

Läs mer