Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer

Storlek: px
Starta visningen från sidan:

Download "Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer"

Transkript

1 BESLUT 1(24) Datum Vår referens Aktbilaga Dnr: Nätsäkerhetsavdelningen Staffan Lindmark SignGuard Europe AB Drottninggatan 61 / 3 tr Stockholm Krav på utfärdare enligt lagen om kvalificerade elektroniska signaturer Saken Tillsyn enligt 18 lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen). s avgörande avskriver ärendet från vidare handläggning.

2 2(24) Innehåll 1 Inledning Bakgrund Syftet med tillsynen Metod vid genomförandet av tillsynen Tillsynens omfattning och avgränsning Dokumentets disposition 4 2 Regelverket för kvalificerade certifikat och elektroniska signaturer Bakgrunden till EU-regleringen på området Lag (2000:832) om kvalificerade elektroniska signaturer Lagens tillämpningsområde Definitioner av begrepp rörande certifikat och signaturer Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer 10 3 Resultatet av tillsynen PTS bedömningar Inledning Tekniska krav på certifikat och signaturanordningar Krav på säkra anordningar för signaturframställning Krav på kvalificerade certifikat Allmänt om utfärdarverksamheten Personal och kompetens Rutiner och system Registrering och bevarande av uppgifter Utfärdande och återkallelse av certifikat Information till certifikatinnehavaren Identitetskontroll Återkallelse av certifikat Utfärdarens finansiella ställning 18

3 3(24) 1 Inledning 1.1 Bakgrund Signaturlagen innehåller bestämmelser om säkra anordningar för signaturframställning, om kvalificerade certifikat för elektroniska signaturer och om utfärdande av sådana certifikat. PTS är, i enlighet med 2 förordning (2000:833) om kvalificerade elektroniska signaturer, tillsynsmyndighet enligt signaturlagen. Tillsynsmyndigheten ska enligt 18 signaturlagen utöva tillsyn över bland annat efterlevnaden av lagen. Av 19 signaturlagen framgår att tillsynsmyndigheten får förelägga den som bedriver verksamhet som omfattas av lagen att tillhandahålla myndigheten upplysningar och handlingar som behövs för tillsynen. Enligt 1 signaturlagen gäller lagens bestämmelser sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten. Enligt 8 signaturlagen är en certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten skyldig att anmäla detta hos tillsynsmyndigheten. I dagsläget är SignGuard Europe AB (SignGuard) den enda utfärdare som har anmält sig som utfärdare av kvalificerade certifikat i enlighet med denna bestämmelse. PTS inledde i maj 2009 tillsyn av efterlevnaden av de krav på utfärdare av kvalificerade certifikat som framgår av signaturlagen. Tillsynen har även omfattat kontroll vad gäller tillhandahållna säkra anordningar för signaturframställning. 1.2 Syftet med tillsynen Den tillsyn som genomförts har varit planlagd och har inte föranletts av några klagomål eller misstankar om att den certifikatutfärdare som är anmäld hos PTS, SignGuard, inte skulle efterleva signaturlagens krav. Syftet med tillsynsarbetet har varit att göra en övergripande kontroll av att certifikatutfärdaren efterlever signaturlagens krav på säkra anordningar för signaturframställning och kvalificerade certifikat samt bedriver verksamheten i enlighet med signaturlagens krav på utfärdande av kvalificerade certifikat för elektroniska signaturer. I förarbetena till signaturlagen framhålls att den tillsyn som utövas bör vara så marknadsorienterad som möjligt. Vidare anges att tillsynssystemet, med hänsyn till att verksamheten för en certifikatutfärdare är beroende av att det finns ett förtroende för certifikaten, kan utformas så att det inte lägger några onödiga administrativa bördor på certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en utfärdare närmare. PTS anser emellertid att även en planlagd tillsyn som den förevarande kan bidra till ett stärkt förtroende för de

4 4(24) kvalificerade certifikaten. Detta gäller inte minst då certifikatutfärdaren inte genomgått ackreditering eller något annat revisionsförfarande av utfärdarverksamheten. Det bör dock framhållas att den tillsyn PTS genomför sker på en övergripande nivå och inte kan ersätta den ingående genomgång av verksamheten som en ackreditering skulle innebära. 1.3 Metod vid genomförandet av tillsynen Tillsynen inleddes med att en enkät skickades till SignGuard, med frågor om SignGuards utfärdarverksamt, säkra signaturanordningar, samt de kvalificerade certifikat som SignGuard utfärdar. För att inhämta kompletterande information hölls därefter också ett telefonmöte mellan PTS och SignGuard. Efter analys av SignGuards svar, har PTS fört en dialog med SignGuard avseende vissa av kraven på utfärdarverksamheten. Till stöd i arbetet med utformande av enkätfrågor och granskning av SignGuards enkätsvar har PTS anlitat extern teknisk expertis. PTS har även inhämtat generell information om hur tillsyn inom området bedrivs i andra medlemsstater inom EU, genom en enkät riktad till medlemmar i samarbetsorganet Forum of European Supervisory Authorities of electronic signatures (FESA). En dialog inom FESA har även förts avseende vissa specifika tolkningsfrågor som uppkommit under tillsynen. Yttranden har, där så har bedömts nödvändigt, även inhämtats från andra myndigheter i Sverige. 1.4 Tillsynens omfattning och avgränsning Den nu genomföra tillsynen har omfattat de krav som ställs på säkra anordningar för signaturframställning i enlighet med 3 4 signaturlagen, kvalificerade certifikat enligt 6 signaturlagen samt certifikatutfärdarverksamhet enligt 9 12 signaturlagen. 1.5 Dokumentets disposition Inledningsvis lämnas en beskrivning av för området relevant lagstiftning på europeisk och nationell nivå (kapitel 2). Beskrivningen följs av PTS bedömning av om SignGuards verksamhet uppfyller kraven i signaturlagen (kapitel 3). I kapitel 4 beskrivs slutligen myndighetens planer för det fortsatta arbetet inom området.

5 5(24)

6 6(24) 2 Regelverket för kvalificerade certifikat och elektroniska signaturer 2.1 Bakgrunden till EU-regleringen på området Avsikten med en elektronisk signatur är att åstadkomma motsvarande koppling till en text eller annan informationsmängd, som en personlig namnteckning har till informationen på det papper där den skrivs. Signaturen kan sägas ge uttryck för en vilja att handla på ett visst sätt och har därmed en klar rättslig betydelse. En elektronisk signatur kan användas för att säkerställa att elektroniskt överförd information inte har förändrats, för att identifiera informationens avsändare och för att förhindra avsändaren att förneka att han eller hon sänt informationen. Vilken rättslig betydelse en elektronisk signatur får, är beroende av vilka krav som uppställs i den tillämpliga rättsordningen. Om det uppställs uttryckliga krav på att en underskrift ska vara utförd eller utformad på ett visst sätt, kan det försvaga eller helt förta den elektroniska signaturens rättsliga signifikans. I svensk rätt finns endast ett fåtal bestämmelser där underskriften utgör en förutsättning för en viss rättsverkan. Vanligen har en underskrift därför endast betydelse som bevis för ett visst påstått förhållande. Det finns därför inte heller någon principiell skillnad mellan en handskriven och en elektronisk underskrift. Den elektroniska underskriftens bevisvärde är beroende av i vilken utsträckning dess tekniska egenskaper, tillsammans med t.ex. förfarandet för utfärdande och användning, kan anses styrka ett visst påstående. I andra länders lagstiftning kan däremot den handskrivna namnteckningens rättsverkan i stor utsträckning vara uttryckligt reglerad. Eftersom elektroniska signaturer, till skillnad från handskrivna, utgörs av tekniskt komplexa lösningar, har risken varit stor att dess rättsverkan skulle komma att variera kraftigt mellan olika länders rättsordningar. För att förhindra att dessa förhållanden skulle skapa allvarliga hinder för den inre marknaden och utvecklingen av elektronisk handel, antogs den 13 december 1999 direktivet om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG, nedan kallat signaturdirektivet). Avsikten med direktivet är att fastställa ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att säkerställa en väl fungerande inre marknad. 1 I direktivet definieras vilka krav som ska vara uppfyllda för att ett elektroniskt certifikat ska anses kvalificerat och för att en elektronisk signatur ska anses vara 1 Se prop. 1999/2000:117 s. 27

7 7(24) avancerad. Avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat och som skapats av en säker anordning för skapande av signaturer ska, enligt direktivet, anses uppfylla eventuella krav i nationell reglering avseende handskrivna namnteckningar samt godtas som bevis på motsvarande sätt som en traditionell underskrift (artikel 5.1). Det finns vidare krav på att elektroniska signaturer under vissa förhållanden inte får förvägras rättslig verkan eller giltighet som bevis (artikel 5.2). Direktivets regler är således i första hand till för att undanröja eventuella rättsliga hinder för användningen av elektroniska signaturer. Som konstaterats ovan finns, tack vare principen om fri bevisföring i svensk domstol, inte några allvarliga sådana hinder för användning elektroniska signaturer inom Sverige. För de svenska nationella förhållandena har därför direktivets bestämmelser främst haft betydelse såsom normgivande för utformningen av system för utfärdande av elektroniska certifikat och elektronisk signering. När de uppgifter som signeras inte enbart har betydelse för svenska förhållanden finns det däremot ett reellt behov av att kunna säkerställa underskrifters rättsverkan i andra länder. Regelverket om kvalificerade elektroniska signaturer får därför betydelse för dem som avser att utbyta information med parter i andra länder inom EU. Detta gäller i synnerhet i de fall där det saknas praktiska möjligheter att på förhand avtala med den utländska motparten om en modell för utbyte av elektronisk information. Eftersom det föreskrivna systemet med kvalificerade certifikat och elektroniska signaturer är ett så kallat öppet system, så krävs inte att den part som mottar signerad information och förväntas förlita sig på signaturen (den förlitande parten) inte på förhand har ingått ett avtal med vare sig undertecknaren eller utfärdaren av det kvalificerade certifikatet. Att så är fallet får särskilt stor betydelse i enskildas kontakter med utländska myndigheter. Karaktäristiskt för dessa kontakter är att det saknas en tidigare relation mellan parterna: Det kan t.ex. röra sig om en ansökan som lämnas av en näringsidkare som önskar tillstånd för att bedriva en viss verksamhet i ett annat land. Trots att tillgänglighet till utländska myndigheter via elektroniska förfaranden således torde har varit en av de underliggande orsakerna till signaturdirektivets tillkomst har denna utveckling gått trögt. En orsak till detta skulle kunna vara den möjlighet som finns för medlemsstater att förena användningen av elektroniska signaturer i den offentliga sektorn med särskilda krav (artikel 3.7). I samband med införandet av europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet) har dock en förnyad ansats tagits för att underlätta enskildas kontakter med offentliga institutioner. Bl.a. ska det i varje land finnas en

8 8(24) nationell kontaktpunkt, dit enskilda kan vända sig för att få hjälp att kontakta rätt nationell myndighet för det aktuella ärendet. I detta sammanhang ska medlemsstaterna se till att alla förfaranden och formaliteter för att få tillträde till och utöva en tjänsteverksamhet kan fullgöras enkelt, på distans och på elektronisk väg (artikel 8). I kravet ligger även en skyldighet att ta emot elektroniskt underskrivna handlingar. I enlighet med kommissionens beslut ska sådana handlingar godtas, som underskrivits med avancerade elektroniska signaturer, baserade på kvalificerade certifikat. 2 Av kommissionens beslut om tillämpningen av tjänstedirektivet framgår vidare att varje medlemsstat är skyldig att upprätthålla en elektroniskt tillgänglig förteckning över anmälda utfärdare av kvalificerade certifikat i landet. PTS tillhandahåller en sådan förteckning för Sveriges räkning. 2.2 Lag (2000:832) om kvalificerade elektroniska signaturer Lagens tillämpningsområde Signaturdirektivet har i Sverige implementerats i signaturlagen. Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten (1 ). Vissa av lagens bestämmelser (såsom de i 3 5 om säkra signaturanordningar) syftar dock till att definiera begrepp som inte direkt berör utfärdarverksamheten. I 17 finns även en bestämmelse som mer allmänt tar sikte på att klargöra elektroniska signaturers rättsverkan. Enligt bestämmelsen ska en kvalificerad elektronisk signatur anses uppfylla eventuella krav på egenhändig underskrift eller motsvarande i annan lag eller författning, under förutsättning att det aktuella kravet får uppfyllas med elektroniska medel. Att lagen i övrigt gäller certifikatutfärdare etablerade i Sverige, innebär att dess bestämmelser inte kan tillämpas i förhållande till kvalificerade certifikat utfärdade av certifikatutfärdare i andra länder. Enligt 7 gäller att ett certifikat alltid ska anses kvalificerat i Sverige, om det är utfärdat av en certifikatutfärdare som är etablerad i en annan medlemsstat inom EU och i den staten har rätt att utfärda kvalificerade certifikat. Eftersom signaturdirektivets bestämmelser gäller i samtliga medlemsstater, innebär detta i praktiken främst en avgränsning av respektive nationell tillsynsmyndighets ansvarsområde, men det utgör för certifikatutfärdarna även en avgränsning vad gäller tillämpligheten av nationella skadeståndsbestämmelser. 2 C(2009)7806 final COMMISSION DECISION of setting out measures facilitating the use of procedures by electronic means through the points of single contact under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market

9 9(24) Det är vidare endast de certifikatutfärdare som anger att de utfärdar certifikat som är kvalificerade som omfattas av lagens bestämmelser. 3 Detta är en orsak till att det stora flertalet certifikatutfärdare som i dagsläget är etablerade i Sverige inte är anmälda till PTS såsom certifikatutfärdare och heller inte omfattas av regleringen. Av 8 framgår att certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos tillsynsmyndigheten. Lagens bestämmelser gäller dock även om utfärdaren underlåtit att anmäla verksamheten till PTS Definitioner av begrepp rörande certifikat och signaturer I 2 definieras begreppen kvalificerade elektroniska signaturer och kvalificerade certifikat. Varje begrepp består av flera led, som definieras separat. På så vis klargörs begreppens individuella förhållande, där en gradvis skärpning av kriterierna sker: Elektronisk signatur definieras som data i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från den som framstår som utställare och att det inte har förvanskats och kan i praktiken omfatta mycket enkla underskrifter i elektronisk form. För att en elektronisk signatur ska anses vara avancerad krävs emellertid att den är knuten uteslutande till en undertecknare, gör det möjligt att identifiera undertecknaren, är skapad med hjälpmedel som endast undertecknaren kontrollerar, och är knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas. Det ställs med andra ord relativt höga krav på teknisk säkerhet, för att nå upp till denna nivå. En kvalificerad elektronisk signatur, slutligen, måste utöver ovanstående krav även vara baserad på ett kvalificerat certifikat och skapad av en säker anordning för signaturframställning Vad gäller de certifikat som används för att skapa elektroniska signaturer finns motsvarande gradvisa uppbyggnad av begreppen. Ett certifikat anges vara ett intyg i elektronisk form som kopplar ihop signaturverifieringsdata med en 3 Jfr 6 första stycket 1.

10 10(24) undertecknare och bekräftar dennes identitet och för att anses kvalificerat ska certifikatet uppfylla de krav som närmare anges i 6 och 7. Vad gäller anordning för signaturframställning definieras detta som en maskineller programvara för användning av signaturframställningsdata, där signaturframställningsdata utgörs av unika data, såsom koder eller hemliga krypteringsnycklar, som används för att skapa en elektronisk signatur. För att en signaturanordning ska anses säker krävs att de krav som anges i 3 5 är uppfyllda Reglering om utfärdande av kvalificerade certifikat för elektroniska signaturer Som konstaterats ovan omfattar huvuddelen av signaturlagen den verksamhet som bedrivs av utfärdare av kvalificerade certifikat. Centralt för bedömningen av verksamheten är därför om de certifikat som utfärdas uppfyller kriterierna i 6. Kriterierna består huvudsakligen av ett antal uppgifter som ska återfinnas i varje utfärdat certifikat, däribland upplysningen att certifikatet är kvalificerat, uppgifter om utfärdaren och den till vilket certifikatet utfärdats (undertecknaren), certifikatets giltighetstid liksom de kryptografiska nycklar som krävs för att koppla certifikatet till utfärdaren och till de signaturer som undertecknaren skapat. Utöver kraven på själva certifikaten finns i 9-12 krav på hur utfärdarverksamheten ska bedrivas. Dessa krav kan även konkretiseras i föreskrifter, men några sådana har i dagsläget inte utfärdats. Kraven beskrivs närmare i samband med bedömningen av efterlevnaden av respektive bestämmelse nedan.

11 11(24) 3 Resultatet av tillsynen PTS bedömningar 3.1 Inledning I detta kapitel redogör PTS för myndighetens bedömningar avseende hur SignGuard efterlever de bestämmelser i signaturlagen som omfattats av tillsynen. Vad gäller efterlevnaden av bestämmelserna rörande rutiner för identifiering av certifikatinnehavare och utfärdarens finansiella ställning, har PTS under ärendets handläggning meddelat SignGuard myndighetens preliminära bedömning, varefter SignGuard har vidtagit vissa åtgärder. Nedan redogörs för myndighetens slutliga bedömning. 3.2 Tekniska krav på certifikat och signaturanordningar Krav på säkra anordningar för signaturframställning I 3 ställs krav på den anordning som används för att skapa kvalificerade signaturer skyddar den privata nyckeln på ett tillräckligt säkert sätt. Av 4 framgår att kraven ska anses uppfyllda om de standarder som EUkommissionen beslutat efterlevs. Det bör dock observeras att det är möjligt att leva upp till kraven i 3 även genom att tillämpa andra standarder. SignGuard har uppgett att företaget inte själva utfärdar några anordningar för signaturframställning. SignGuard planerar dock att utfärda kvalificerade certifikat på anordningar för signaturframställning som har ett Common Criteriaevaluerat operativsystem, Infineons signaturanordning med CARD OS 4.3b. Godkännandet har skett i Tyskland. Kortet har ett evalueringscertifikat utfärdat av Bundesamt für Sicherheit in der Informationstechnik (BSI) och har evaluerats baserat på skyddsprofilen BSI-PP , EAL 5. Vidare har SignGuard uppgett att de kvalificerade certifikat som företaget i dagsläget utfärdar främst är avsedda att användas med de ID-kort som utfärdas av Skatteverket. Tidigare var avsikten att certifikaten främst skulle användas med de nationella ID-korten som utfärdas av polisen. Det är oklart enligt vilken standard och vilka krav som chip och operativsystem för dessa kort har evaluerats. SignGuard har uppgett att de framgent kommer att använda anordningar som evaluerats i Tyskland och som minst motsvarar kraven som ställs i de standarder som kommissionen pekat ut. Eftersom SignGuard i dagsläget inte själva utfärdar några anordningar för signaturframställning finns inte heller någon sådan anordning att utvärdera inom ramen för den här tillsynen.

12 12(24) Krav på kvalificerade certifikat I 6 anges att följande information ska finnas i ett certifikat för att det ska få kallas kvalificerat: 1. uppgift om att det utfärdats som ett kvalificerat certifikat, 2. certifikatutfärdarens namn och adress samt uppgift om etableringsland, 3. undertecknarens namn eller pseudonym med uppgift om att det är en pseudonym, 4. särskilda uppgifter om undertecknaren, om de är relevanta för ändamålet med certifikatet, 5. signaturverifieringsdata som motsvarar de signaturframställningsdata som undertecknaren vid tidpunkten för utfärdandet har kontroll över, 6. uppgift om certifikatets giltighetstid, 7. certifikatets identifieringskod, 8. certifikatutfärdarens avancerade elektroniska signatur eller en elektronisk signatur med motsvarande säkerhetsnivå, och 9. uppgift om eventuella begränsningar av certifikatets användningsområde eller av värdet på de transaktioner för vilka certifikatet kan användas (transaktionsbelopp). För att certifikatet ska få kallas kvalificerat krävs också att utfärdaren uppfyller kraven i SignGuard har redogjort för vilka uppgifter som de certifikat som utfärdas av företaget innehåller. Av redogörelsen framgår att certifikaten innehåller samtliga de uppgifter som räknas upp i 6, med undantag för utfärdarens och certifikatinnehavarens adress. PTS har även noterat en mindre avvikelse avseende utpekande av certifikatpolicy. 4 SignGuard bör vidta åtgärder för att säkerställa att informationen i de certifikat som i fortsättningen utfärdas, till fullo överensstämmer med kraven i 6 signaturlagen. 3.3 Allmänt om utfärdarverksamheten Personal och kompetens Av 9 1 st. 1 framgår att utfärdaren ska bedriva verksamheten tillförlitligt och ha personal med tillräcklig kompetens och erfarenhet för verksamheten, särskilt vad avser ledning, teknik och säkerhetsrutiner. SignGuard har uppgett att företaget, liksom dess underleverantörer och partners, arbetar aktivt på PKI-området. Arbetet omfattar utveckling av mjukvara och certifikatutfärdarverksamhet. De deltar i arbetsgrupper i Tyskland 4 SignGuard pekar i certifikaten på en certifikatpolicy med objektidentiteten 0, { itu-t(0), vilket pekar på ett träd av objektidentifierare för policy. Om SignGuard inte vill uppge en policy, såsom t.ex. ETSI:s policy för kvalificerade certifikat, torde det vara lämpligare att peka på anypolicy { }.

13 13(24) som utvecklar och förvaltar de tyska nationella lösningarna på området. SignGuard med partners har totalt 11 anställda, med olika kompetens inom området. PTS kan konstatera att det inte framgår av SignGuards uppgifter i vilken utsträckning de personer som är anställda av underleverantörer, är dedikerade till SignGuards verksamhet. PTS kan vidare notera att det av SignGuards årsredovisning framgår att SignGuard inte har några anställda. Det innebär att den kompetens som finns hos underleverantörer och partners är avgörande för företagets verksamhet och efterlevnaden av kraven i signaturlagen. Enligt PTS bedömning innebär signaturlagens krav inte något formellt hinder mot att ersätta anställd personal med anskaffande av tjänster från underleverantörer. En förutsättning är dock att underleverantörerna i avtal uttryckligen förbinder sig att upprätthålla en personalstyrka med den kompetens och erfarenhet som krävs enligt signaturlagen. PTS förutsätter att SignGuard, om så inte redan är fallet, säkerställer att avtal med underleverantörer innehåller sådana villkor Rutiner och system Enligt 9 1 st. 2-3 ska certifikatutfärdaren använda sådana rutiner för administration och ledning som uppfyller erkända standarder samt använda pålitliga system och produkter som är skyddade mot ändringar och se till att teknisk och kryptografisk säkerhet upprätthålls. SignGuard har uppgett följande. Företagets underleverantör, Mentana Claimsoft AG (Mentana), som hanterar den praktiska driften, har ett certifierat kvalitetsledningssystem i enlighet med ISO Mentana arbetar efter ledningssystem för informationssäkerhet i enlighet med den internationella standarden ISO/IEC Mentana har påbörjat certifiering av datacentret och organisationens rutiner och processer i enlighet med ISO/IEC Rutiner för behörighetshantering, fysiskt tillträde och loggning finns etablerade. Alla säkerhetskritiska transaktioner loggas och följs upp. Det finns ett aktivt intrångsdetekteringssystem och andra dataintegritetsskydd. Inloggning sker alltid baserat på certifikat. Utfärdandet av certifikat är fördelade på två personer, vilket medför att endast de två personerna gemensamt kan utfärda certifikat. Den mjukvara som används har godkänts av tillsynsmyndigheten för kvalificerade certifikat i Tyskland, Bundesnetzagentur. Det skydd av utfärdarens privata nycklar som används (HSM-modul) för utfärdandet av kvalificerade certifikat är Common Criteria-evaluerat till nivå EAL 4+ i Tyskland. Den fysiska driften är redundant genom spegling, vilket medför att om en site går ner så finns det en exakt kopia som kan ta över. PTS kan konstatera att ledningsystem, rutiner och processer förefaller adekvata för utfärdandet av kvalificerade certifikat. PTS kan också konstatera att det

14 14(24) skydd som SignGuard har för den privata utfärdarnyckeln motsvarar de krav som ställs i de standarder som EU-kommissonen pekat ut på området Registrering och bevarande av uppgifter Av 11 framgår att en utfärdare av kvalificerade certifikat ska bevara all relevant information om de utfärdade certifikat under den tid som är motiverad med hänsyn till typen av certifikat och övriga omständigheter. Utfärdaren ska vidare använda tillförlitliga system för lagring av kvalificerade certifikat i verifierbar form. Informationen ska skyddas så att äktheten kan kontrolleras och informationen endast kan nås och läsas av behöriga personer. Systemen ska vidare säkerställa att certifikaten endast är offentligt tillgängliga när certifikatinnehavarna har lämnat sitt samtycke till detta. Enligt 10 2 ska certifikatutfärdaren säkerställa att exakt tidpunkt kan anges för utfärdande och återkallelse av certifikat. SignGuard har uppgett följande. All information som återfinns i ansökan om utfärdande av ett kvalificerat certifikat är relevant att bevara. All sådan relevant information rörande de kvalificerade certifikaten registreras och hålls arkiverade digitalt i fem år. Information lagras i distribuerade databaser. Varje register är skyddat med krypterade tidsstämplar, vilket gör att äktheten i certifikatens uppgifter kan kontrolleras under hela lagringstiden. Utfärdade certifikat görs och hålls offentligt tillgängliga i en publik LDAP server. Innan ett utfärdat certifikat görs offentligt tillgängligt måste certifikatinnehavaren lämna sitt samtycke. Mot bakgrund av de uppgifter SignGuard lämnat anser PTS att den lagrade informationen är väl skyddad. Enligt PTS uppfattning kan det dock vara lämpligt att utöka lagringstiden för informationen till minst 10 år. En sådan lagringstid motsvarar de krav som ställs på bevarande av räkenskapsinformation, den allmänna preskriptionstiden för fordringar liksom de krav som ställts på information om certifikat som utfärdas inom systemet för s.k. e-legitimationer i Sverige Utfärdande och återkallelse av certifikat Information till certifikatinnehavaren Enligt 12 ska en utfärdare av kvalificerade certifikat, innan avtal om utfärdande av certifikat ingås, skriftligen och på ett lättbegripligt språk informera motparten om bl.a. begränsningar och andra villkor för användning av certifikatet samt förfaranden för klagomål och avgörande av tvister. 5 Se 7 kap. 2 bokföringslagen (1999:1078), 2 preskriptionslagen (1981:130) samt Grundläggande vägledning för myndigheternas användning av e-legitimationer och elektroniska underskrifter (E-nämnden 04:02), avsnitt 3.21.

15 15(24) SignGuard har uppgett följande. Företagets användarvillkor finns tillgängliga på bolagets webbplats där också certifikatpolicyn kan laddas ner av certifikatinnehavare och förlitande parter. Efter inloggning på webbplatsen kan certifikatinnehavaren skicka eventuella klagomål till bolaget per e-post. Alla klagomål och andra tvister behandlas av företagsledningen. PTS anser att SignGuard genom denna hantering uppfyller kraven i Identitetskontroll Enligt 9 1 st. 5 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten ha säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. Av lagstiftningens syften framgår att kvalificerade certifikat i första hand är tänkta att användas inom s.k. öppna system. Att ett system är öppet innebär att det inte grundas på avtal mellan ett bestämt antal deltagare. I det öppna systemet har den förlitande parten typiskt sett inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Däremot får det förutsättas att det alltid finns ett avtal mellan certifikatutfärdaren och dess kunder, dvs. certifikatinnehavarna. 6 I likhet med andra öppna system, såsom t.ex. SIS-märkta identitetshandlingar, bygger användningen av kvalificerade certifikat på tillit. För att säkerställa tilliten är utformningen av de regler och rutiner som omgärdar certifikathanteringen av yttersta vikt. Bland de viktigaste av dessa rutiner är de som syftar till att identifiera den som ansöker om ett certifikat och att säkerställa att certifikatet utfärdas till rätt individ. SignGuards rutiner för identifiering av den som ansöker om ett kvalificerat certifikat byggde inledningsvis på att identitetskontrollen i första hand utförs av tjänsteman vid antingen en polismyndighet eller Skatteverket. Tjänstemannen skulle, efter uppvisande av ett nationellt ID-kort, intyga den ansökandes identitet på ett särskilt formulär. Emellertid saknades avtal mellan SignGuard och de nämnda myndigheterna avseende identifiering. Myndigheterna uttalade vidare, i yttranden till PTS, att deras tjänstemän saknade möjlighet att utföra identifiering av personer som ansökt om kvalificerade certifikat inom ramen för sina arbetsuppgifter. PTS konstaterade därför att det tillämpade förfarandet, med hänsyn till vikten av tillit till systemet för utfärdande av kvalificerade certifikat, kunde anses utgöra en allvarlig brist och att SignGuard därför inte tillämpat säkra rutiner för identitetskontroll av de undertecknare som kvalificerade certifikat utfärdas till. 6 Se signaturdirektivets ingresspunkt 16 och prop. 1999/2000:117 s. 35 f.

16 16(24) Efter att PTS meddelat SignGuard denna bedömning vid ett möte i februari 2010 har företaget upplyst om att rutinerna för identifiering har ändrats. Sammanfattningsvis har SignGuard lämnat följande upplysningar om identifieringsförfarandet. Förfarandet utgår numera från de identitetskort som utfärdas av Skatteverket. På dessa identitetskort finns även ett elektroniskt certifikat lagrat, som utfärdats av en av de upphandlade certifikatutfärdarna inom ramen för det svenska systemet för s.k. e-legitimationer. Den ansökande ges, genom SignGuards mjukvaruprodukter, möjlighet att elektroniskt signera ansökningshandlingen för ett kvalificerat certifikat, med det befintliga elektroniska certifikatet (e-legitimationen) på Skatteverkets identitetskort. Giltigheten på det befintliga certifikatet verifieras hos utfärdaren, via en tjänst för spärrförfrågningar som tillhandahålls av en tredjepartsleverantör. Om certifikatet är giltigt, anser SignGuard att den ansökandes identitet har kunnat verifieras. Detta förfarande innebär således, att SignGuard tillämpar s.k. indirekt identifiering av den som ansöker om ett kvalificerat certifikat. Identifieringen bygger på att Skatteverket ursprungligen, i enlighet med vedertagna principer och myndighetens föreskrifter, kontrollerat identiteten på den som ansökt om ett identitetskort. Utfärdaren av e-legitimationen som placeras på kortet, förlitar sig på Skatteverkets identifiering när e-legitimationens elektroniska certifikat utfärdas och placeras på kortet. SignGuard förlitar sig i sin tur på e-legitimationsutfärdaren. Det finns, enligt PTS bedömning, inte några formella hinder mot att, vid utfärdande av kvalificerade certifikat, tillämpa en indirekt identifiering av den ansökande. Inte minst med tanke på det särskilda ansvar för att identifieringen gått rätt till, som föreligger enligt signaturlagen (se vidare under 3.5 nedan), är det dock viktigt att utfärdaren av kvalificerade certifikat genom avtal säkerställt möjligheten att i sin tur kunna utkräva ansvar av den eller de parter som utfärdaren förlitar sig på, inom ramen för identifieringsförfarandet. I det aktuella fallet torde det ligga närmast till hands att SignGuard säkerställer ett sådant avtalsrättsligt åtagande från utfärdaren av det elektroniska certifikat som finns på Skatteverkets identitetskort, alternativt från den tredjepartsleverantör som tillhandahåller tjänsten för spärrförfrågningar. Under dessa förutsättningar finner PTS således att SignGuard rutiner för identitetskontroll nu uppfyller de krav på säkerhet som föreskrivs i signaturlagen Återkallelse av certifikat Enligt 10 signaturlagen ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten omedelbart återkalla ett certifikat när undertecknaren begär det eller när det annars finns anledning till det. Enligt 9 1 st. 6 ska

17 17(24) utfärdaren förfoga över ett snabbt och säkert system för registrering och omedelbar återkallelse av kvalificerade certifikat SignGuard har sammanfattningsvis uppgivit följande. Efter en katastrof kan SignGuard återställa driften tack vare att backup genomförs kontinuerligt. Vidare speglas alla datatransaktioner på en annan plats. Vid katastrof tar denna över verksamheten. Om en privat nyckel som används för att utfärda certifikat röjs, kommer alla berörda certifikat att återkallas och certifikatinnehavare kontaktas. SignGuard för en förteckning över alla beställningar och återkallelser. Alla ansökningsformulär kan laddas ner från SignGuards webbplats när användaren är inloggad. Detta säkerställer att certifikatbeställningar för redan registrerade undertecknare är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Förfarandet omfattar även förnyande av certifikat och nycklar efter spärr eller före utgång av certifikatets giltighetstid liksom uppdatering av certifikat på grund av förändring i något av undertecknarens attribut. En certifikatinnehavare kan när som helst spärra sitt certifikat via SignGuards webbplats dygnet runt alla dagar i veckan. En användare måste vara inloggad för att kunna spärra sitt certifikat. Endast certifikatinnehavaren kan spärra ett certifikat och det kan endast ske via webbplatsen. Nya certifikatlistor uppdateras och publiceras minst en gång i timmen. Spärrlistan (CRL) uppdateras omedelbart efter att ett certifikat spärrats på ett godkänt sätt. Den exakta tidpunkten för utfärdande och återkallelse av certifikat registreras. SignGuard erbjuder även en online spärrförfrågningstjänst, s.k. Online Certificate Status Protocol (OCSP). Som framgår ovan är SignGuards certifikat främst avsedda att användas med Skatteverkets identitetskort. Skatteverket har ett samarbete med utfärdaren av de certifikat som placeras på Skatteverkets identitetskort, som innebär att en spärrning av antingen identitetskortet hos Skatteverket eller av certifikatet på kortet hos utfärdaren medför att såväl identitetskort som certifikat spärras. SignGuard kan i sin tur kontrollera kortet eller certifikatets giltighet, via tredjepartstjänster. Vidare åläggs certifikatinnehavaren, i SignGuards allmänna villkor, att omedelbart spärra certifikatet hos SignGuard, vid misstanke om att säkerhetskoden till den privata nyckeln kommit till annans kännedom eller att identitetskortet har kommit i annans besittning.

18 18(24) Att certifikatinnehavaren endast kan återkalla sitt certifikat genom att logga in på SignGuards webbplats innebär en begränsning som kan medföra att återkallelsen fördröjs, om t.ex. certifikatinnehavaren inte har tillgång till Internetuppkoppling eller de inloggningsuppgifter som krävs. Samtidigt minimeras med detta förfarande risken för att obehöriga kan återkalla certifikat. Avvägningen mellan dessa två intressen är viktig. För att ytterligare öka möjligheterna för certifikatinnehavare att vid behov omedelbart återkalla certifikat kan det, enligt PTS mening, vara lämpligt att SignGuard på sikt introducerar fler säkra förfaranden för detta. 3.5 Utfärdarens finansiella ställning Enligt 9 1 st. 4 ska en certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten enligt signaturlagen och bära risken för skadeståndsskyldighet. Det finns enligt PTS bedömning inte någon generellt tillämplig norm för vilka ekonomiska medel som krävs för att utfärda kvalificerade certifikat på ett betryggande sätt. Av SignGuards upplysningar framgår att företaget rent faktiskt bedriver en sådan verksamhet och PTS har inte heller funnit något som tyder på att de ekonomiska medel företaget förfrågar över inte är tillräckliga för den dagliga driften. Vad gäller frågan om vilka ekonomiska medel som krävs för att kunna bära risken för skadeståndsskyldighet kan dock följande anmärkas. Som PTS konstaterat ovan är systemet med kvalificerade certifikat tänkt att vara öppet och alltså inte bygga på avtal mellan ett avgränsat antal, på förhand bestämda, deltagare. Den förlitande parten har därför vanligen inte något avtal med vare sig certifikatutfärdaren eller certifikatinnehavaren. Skadeståndsskyldighet på grund av ren förmögenhetsskada (en skada som inte har samband med en person- eller sakskada) uppkommer i näringslivet vanligen på grund av avtalsbrott. I vissa fall kan dock sådan skadeståndsskyldighet uppkomma även gentemot tredje man. Det gäller enligt rättspraxis bl.a. vid utfärdande av olika former av intyg, där det måste stå klart för den som utfärdar intyget att även andra än uppdragsgivaren kan komma att sätta sin tillit till intyget. 7 Det finns stora likheter mellan elektroniska certifikat och den typ av intyg som i rättspraxis har ansetts medföra skadeståndsansvar gentemot förlitande parter. Även oberoende av specialreglering torde därför risk för sådant 7 Se bl.a. NJA 1987 s. 692.

19 19(24) skadeståndsansvar föreligga för utfärdare av elektroniska certifikat. 8 I 14 1 st. signaturlagen anges emellertid tre uttryckliga kriterier som grundar skadeståndsskyldighet för certifikatutfärdaren. Det rör underlåtelse att uppfylla kraven i 10 rörande utfärdande och återkallelse av certifikat, kraven i 6 avseende utfärdade certifikats utformning samt om utfärdat certifikat innehåller felaktiga uppgifter. SignGuard har, på fråga om företagets möjligheter att bära risken för skadestånd, framfört att denna risk inte kan sägas vara högre än i annan, liknande verksamhet. Detta är, enligt PTS uppfattning, riktigt såtillvida att även utfärdare av icke-kvalificerade certifikat kan drabbas av skadeståndsskyldighet gentemot såväl certifikatinnehavare som förlitande parter. En viktig skillnad föreligger dock i att sådana utfärdare har långtgående möjligheter att i avtal och genom friskrivningar i de utfärdade certifikaten begränsa sin skadeståndsskyldighet. Dessa möjligheter är kraftigt begränsade för utfärdare av kvalificerade certifikat, på grund av bestämmelsen i 15 signaturlagen, enligt vilken avtalsvillkor som i jämförelse med 14 är till nackdel för den som förlitar sig på certifikatet, är utan verkan mot denne. Av 14 2 st. framgår även att en utfärdare av kvalificerade certifikat måste visa att en skada inte har orsakats av vårdslöshet hos utfärdaren själv, för att undgå skadeståndsansvar enligt bestämmelsen. För de i 14 uttryckligt angivna skadefallen gäller alltså en omvänd bevisbörda, s.k. presumtionsansvar, för certifikatutfärdaren. Bestämmelsen innebär en avvikelse från den princip som gäller generellt vid skadeståndsanspråk och torde kunna medföra högre risk att bli ersättningsskyldig för utfärdare av kvalificerade certifikat än för andra certifikatutfärdare. Ytterligare en väsentlig skillnad mot andra, liknande verksamheter ligger i det uttryckliga kravet, i 9 1 st. 4, på att certifikatutfärdaren ska förfoga över tillräckliga ekonomiska medel för att kunna bära risken för skadeståndsskyldighet. Detta torde innebära att det, till skillnad från de allra flesta andra former av affärsrörelser, inte är möjligt att bedriva verksamhet för utfärdande av kvalificerade certifikat på vinst eller förlust. För att de utfärdade certifikaten ska få kallas kvalificerade så krävs alltså att utfärdaren har en viss finansiell ställning. 9 Lagstiftaren har inte närmare angivit vilka ekonomiska medel en certifikatutfärdare behöver förfoga över, för att kunna utfärda kvalificerade certifikat på ett tillförlitligt sätt och bära risken för skadestånd. PTS har inte heller preciserat detta i föreskriftsform. I bilaga II till direktivet om ett 8 Se prop 1999/2000:177 s. 75 och 51 ff. 9 Jfr. 6 1 st. signaturlagen.

20 20(24) gemenskapsramverk för elektroniska signaturer 10 uttrycks emellertid att skyldigheten kan uppfyllas genom en lämplig försäkring. En försäkring som täcker de krav som kan ställas mot en utfärdare med stöd av 14 signaturlagen torde i normalfallet därför vara tillräcklig för att uppfylla kravet i 9 1 st Enligt PTS mening borde det också vara naturligt för utfärdare av kvalificerade certifikat att teckna försäkring mot eventuella skadeståndskrav. SignGuard har emellertid framfört att de inte har kunnat hitta något försäkringsbolag som är villigt att försäkra utfärdarverksamheten. Enligt uppgift från företaget så anser svenska försäkringsbolag att det saknas tillräcklig kunskap om vilka risker som är förenade med utfärdarverksamheten. SignGuard har även kontaktat försäkringsbolag i länder där kvalificerade certifikat utfärdas i större utsträckning än i Sverige, men har inte heller där kunnat teckna någon försäkring, eftersom dessa bolag har uppgett sig sakna tillräckliga kunskaper om svenska förhållanden. PTS har inte närmare utrett möjligheterna att teckna en lämplig försäkring i Sverige. Myndigheten kan dock konstatera att svårigheter med att teckna försäkring sannolikt skulle verka hämmande för utvecklingen på marknaden för kvalificerade certifikat. Försäkring utgör dock bara ett möjligt sätt att uppfylla kraven på att förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten. Att en försäkring av någon anledning inte kunnat tecknas, kan inte medföra att dessa krav ställs lägre än vad som annars skulle ha varit fallet. Bedömningen av vilka ekonomiska medel som ska anses tillräckliga torde vara beroende av verksamhetens omfattning. Samtidigt menar PTS att vissa minimikrav bör ställas även på nystartade certifikatutfärdare som ännu inte har utfärdat ett stort antal certifikat. Detta är inte minst viktigt för att skapa grund för den tillit till de kvalificerade certifikaten som utgör grunden för hela systemet. Det bör också hållas i åtanke att lagstiftningen om kvalificerade certifikat bygger på ett EG-direktiv som tillkommit för att bidra till rättsligt erkännande av elektroniska signaturer över nationsgränser. Det är därför även av vikt att kvalificerade certifikat som utfärdas i Sverige vinner tillit även i andra medlemsstater. I det sammanhanget kan anmärkas att det i vissa medlemsstater, enligt vad PTS erfar, ställs krav på att utfärdare av kvalificerade certifikat dels ska teckna försäkringar som täcker skadeståndskrav på i storleksordningen 1-10 miljoner kronor samt dels ha ett eget kapital i storleksordningen 100 miljoner kronor. 10 Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer. 11 Se prop. 1999/2000:117 s. 73.

21 21(24) PTS vill dock betona att det i beräkningen av vilka krav som ska ställas i det enskilda fallet är rimligt att även ta hänsyn till en bedömning av hur stora riskerna i den aktuella verksamheten är. Det är rimligt att därvid räkna med att riskerna växer i paritet med antalet utfärdade certifikat. Den ekonomiska risken förknippad med varje certifikat är även beroende av till vad certifikatet kommer att användas, något som kan vara svårt för utfärdaren att förutse. Av 14 2 st. jämförd med 12 1 st. 1 och 6 1 st. 9 framgår emellertid att certifikatutfärdaren kan ange begränsningar för de utfärdade kvalificerade certifikatens användningsområde eller transaktionsbelopp. När certifikatutfärdaren har angett sådana begränsningar tydligt i själva certifikatet, är utfärdaren inte skadeståndsskyldig för skada som härrör från att certifikatet använts i strid med begränsningarna. Dessa bestämmelser ger certifikatutfärdaren vissa möjligheter att begränsa sin risk. Begränsningarna kan anpassas efter behov och det finns inget krav på att en certifikatutfärdare måste tillämpa samma begränsningar för alla certifikat som utfärdas. Beroende på hur kundkretsen ser ut kan utfärdaren göra en bedömning av om begränsning ska ske av användningsområden för certifikatet eller av de transaktionsbelopp certifikatet får användas för. Även andra faktorer kan påverka riskbedömningen. PTS kan t.ex. notera att SignGuard till stor del använder sig av underleverantörer i utfärdarverksamheten. Detta kan påverka riskerna i verksamheten i såväl positiv som negativ riktning men det finns, enligt myndighetens uppfattning, inga principiella skäl som alltid talar emot användning av underleverantörer. Det torde utan tvivel vara så att en certifikatutfärdare, inte minst när verksamheten är nystartad, kan dra stor nytta av att anlita erfarna underleverantörer. PTS kan dock notera att det, enligt vad myndigheten erfar, i vissa andra medlemsstater överhuvudtaget inte är tillåtet att lägga ut kritiska delar av certifikatutfärdarverksamheten på utomstående. I relation till risken för skadestånd kan också en utfärdare försättas i en sämre sits om en underleverantör anlitats för något av de moment som omfattas av utfärdarens presumtionsansvar i 14. I en sådan situation kan utfärdaren vara beroende av underleverantören för att samla den bevisning som krävs för att utfärdaren ska gå fri från ansvar. Det är viktigt att utfärdaren i avtal med underleverantörer säkerställer att de senare bistår i det arbetet. Det finns dock inga garantier för att bevisningen alltid är tillräcklig och risken kan därför kvarstå för att utfärdaren i vissa fall befinns skadeståndsansvarig. I sådana fall är det väsentligt att utfärdaren i avtal även har tillförsäkrat sig regressrätt gentemot underleverantören, dvs. en rätt att kräva att underleverantören ersätter utfärdaren med motsvarande det utdömda skadeståndsbeloppet.

22 22(24) Om så skulle ske, finns dock en risk för att tvist även uppstår mellan certifikatutfärdare och underleverantör; inte minst i de fall där parterna först samarbetat gentemot den skadelidande, för att samla bevisning till stöd för att någon vårdslöshet inte förelegat. Det är givetvis viktigt att avtalet mellan parterna i detta avseende är tydligt, men en tvist kan normalt inte helt uteslutas. En konsekvens av detta kan vara att certifikatutfärdaren, i de fall denne har begränsade ekonomiska tillgångar, riskerar att drabbas av likviditetsproblem, till följd av att utfärdaren är tvungen att betala ut skadestånd till den skadelidande innan tvisten med underleverantören slutligt har avgjorts. Som nämnts ovan saknar SignGuard försäkring mot de eventuella skadeståndskrav som följer av verksamheten. Av företagets bokslut per den 31 december 2008 framgår att de totala tillgångarna uppgår till drygt tre miljoner kronor. PTS har under ärendets handläggning fört en dialog med SignGuard angående de finansiella förutsättningarna för att bedriva verksamheten. Företaget har därefter vidtagit åtgärder i syfte att säkerställa att verksamheten efterlever signaturlagens krav. SignGuard har sammanfattningsvis uppgivit följande. Sedan den 23 mars 2010 innehåller samtliga utfärdade certifikat tillägget OID (PKIX Warranty Certificate Extension) SignGuard begränsar genom detta tillägg sitt ansvar gentemot förlitande part till ett värde av maximalt 100 per certifikat. Giltighetstiden är identisk med certifikatets giltighetstid (2 år). Parametern aggregated (0) har också definierats. Detta innebär att SignGuard har minskat sin risk vid ett eventuellt skadeståndsförfarande till maximalt 100 per certifikat. Företagets policy, Certificate Practice Statement (CPS) och slutkundsavtal har också uppdaterats med denna begränsning. Vidare har SignGuard ingått ett avtal med underleverantören som handhar driften av certifikatutfärdarverksamheten. Enligt avtalet åtar sig underleverantören att hålla SignGuard skadefri för det fall SignGuard skulle befinnas skadeståndsskyldig, till följd av underleverantörens agerande eller underlåtelse att agera. Vidare åtar sig underleverantören att hålla dennes verksamhet försäkrad mot bl.a. försumlighet. SignGuard har också lämnat uppgifter om antalet kvalificerade certifikat som hittills utfärdats inom ramen för företagets verksamhet. Det rör sig, enligt PTS mening, om ett i sammanhanget mycket begränsat antal certifikat. SignGuard har även lämnat en prognos för antalet certifikat som kommer att utfärdas under det kommande året. Prognosen tyder på att det totala antalet utfärdade certifikat även inom den närmaste framtiden kommer att hållas på en låg nivå. Sammanfattningsvis kan PTS konstatera att SignGuard förfogar över begräsande tillgångar och därtill saknar försäkring för utfärdarverksamheten. Samtidigt minskas företagets riskexponering av att ett begränsat antal certifikat

23 23(24) har utfärdats, en beloppsbegränsning har införts i de utfärdade certifikaten och att underleverantören har åtagit sig ett tydligt ansvar för skadeståndskrav. Vid en avvägning mellan samtliga omständigheter finner PTS att SignGuard för närvarande får anses förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten och bära risken för skadeståndsskyldighet. PTS vill dock betona att det är nödvändigt att SignGuard, kontinuerligt i takt med att verksamheten, och därmed även företagets riskexponering, växer, förstärker de ekonomiska tillgångarna eller på annat sätt säkerställer att verksamhetens finansiella ställning vidmakthålls eller förbättras. Inom ramen för myndighetens fortsatta tillsynsarbete, har PTS för avsikt att regelbundet begära en redovisning av uppgifter rörande SignGuards finansiella ställning, inklusive företagets riskexponering, och göra en förnyad bedömning av företagets förmåga att bedriva verksamheten och bära risken för skadeståndsskyldighet. Om SignGuards utfärdarverksamhet växer torde en försäkring på sikt komma att utgöra en nödvändighet. PTS har för avsikt att utreda de generella möjligheterna för utfärdare av kvalificerade certifikat i Sverige att erhålla försäkring mot det skadeståndsansvar som kan uppkomma inom verksamheten. Staffan Lindmark

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om kvalificerade elektroniska signaturer; SFS 2000:832 Utkom från trycket den 14 november 2000 utfärdad den 2 november 2000. Enligt riksdagens beslut 1 föreskrivs 2 följande.

Läs mer

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala

Läs mer

PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige

PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige Datum Vår referens Sida 2011-04-26 Dnr: 11-1262 1(6) Ert datum Er referens 2011-04-26 N2011/559/ITP Näringsdepartementet 103 33 Stockholm PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

Allmänna villkor för Alectas internetkontor för företag

Allmänna villkor för Alectas internetkontor för företag Allmänna villkor för Alectas internetkontor för företag 1. Allmänt 1.1. Alectas internetkontor för företag ger företag som är kunder hos Alecta ( Företag ) en överblick över de anställdas försäkringsuppgifter

Läs mer

Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism

Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism REMISS 1(24) Emil Cargill-Ek 08-580 069 06 Enligt sändlista Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism

Läs mer

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn efter inträffad integritetsincident i fakturasystem BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,

Läs mer

(Icke-lagstiftningsakter) FÖRORDNINGAR

(Icke-lagstiftningsakter) FÖRORDNINGAR L 115/12 Europeiska unionens officiella tidning 27.4.2012 II (Icke-lagstiftningsakter) FÖRORDNINGAR KOMMISSIONENS DELEGERADE FÖRORDNING (EU) nr 363/2012 av den 23 februari 2012 om förfarandereglerna för

Läs mer

Riktlinjer för försäkringsföretags hantering av klagomål

Riktlinjer för försäkringsföretags hantering av klagomål EIOPA-BoS-12/069 SV Riktlinjer för försäkringsföretags hantering av klagomål 1/7 1. Riktlinjer Inledning 1. Dessa riktlinjer utfärdas i enlighet med artikel 16 i förordningen om Eiopa 1 (Europeiska försäkrings-

Läs mer

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Regler för momshantering vid e-fakturering inom EU

Regler för momshantering vid e-fakturering inom EU Regler för momshantering vid e-fakturering inom EU NEA seminarium 6 mars 2007 Mats Holmlund 08-440 41 59 1 Momslagen och EG-rätten Mervärdesskattelagen 1968/1994 Sjätte mervärdesskattedirektivet - 1967

Läs mer

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ Konsoliderad version av Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ Ändring införd t.o.m. STAFS 2012:10 Tillämpningsområde 1

Läs mer

Stockholm den 17 maj 2016 R-2016/0740. Till Finansdepartementet. Fi2016/01353/S3

Stockholm den 17 maj 2016 R-2016/0740. Till Finansdepartementet. Fi2016/01353/S3 R-2016/0740 Stockholm den 17 maj 2016 Till Finansdepartementet Fi2016/01353/S3 Sveriges advokatsamfund har genom remiss den 7 april 2016 beretts tillfälle att avge yttrande över promemorian Utbyte av upplysningar

Läs mer

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering Promemoria Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering 1 Innehållsförteckning 2 1 Promemorians huvudsakliga innehåll... 4 2 Förslag till lagtext... 5 2.1 Förslag till

Läs mer

KONSEKVENSUTREDNING med anledning av ett förslag till nya föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism

KONSEKVENSUTREDNING med anledning av ett förslag till nya föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism 2012-12-18 KONSEKVENSUTREDNING med anledning av ett förslag till nya föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism Bakgrund Det tredje penningtvättsdirektivet, Europaparlamentets

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; Utkom

Läs mer

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst 1 (7) Anslutningsavtal för Leverantör av eid-tjänst inom Identitetsfederationen för offentlig sektor 2 (7) 1. Avtalsparter Detta anslutningsavtal ( Avtalet ) har träffats mellan 1. E-legitimationsnämnden,

Läs mer

Kammarkollegiets författningssamling

Kammarkollegiets författningssamling Kammarkollegiets författningssamling ISSN 1402-5345 (tryck) ISSN 1654-9325 (pdf) Utgivare: Gabriella Loman, Kammarkollegiet Fastighetsmäklarinspektionens föreskrifter KAMFS 2013:5 om åtgärder mot penningtvätt

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Tillämpningsområde och definitioner

Tillämpningsområde och definitioner 2013-xx-xx Fastighetsmäklarinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; beslutade den X xxxx 2013. Fastighetsmäklarinspektionen föreskriver 1 följande med stöd

Läs mer

Behörighet i Alectas internetkontor - Ombud

Behörighet i Alectas internetkontor - Ombud Behörighet i Alectas internetkontor - Ombud Nyanmälan. Vi anmäler oss till internetkontoret för första gången. Byte av behörighetsansvarig. Avregistrera nuvarande behörighetsansvarig (i samband med byte

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över dokumentation av informationsbehandlingstillgångar AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2017-02-01 Dnr: 16-6142 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Hi3G Access AB Tillsyn över dokumentation av informationsbehandlingstillgångar

Läs mer

Lag. RIKSDAGENS SVAR 90/2009 rd

Lag. RIKSDAGENS SVAR 90/2009 rd RIKSDAGENS SVAR 90/2009 rd Regeringens proposition med förslag till lag om stark autentisering och elektroniska signaturer samt till vissa lagar som har samband med den Ärende Regeringen har till riksdagen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om certifiering av stamnätsföretag för el; SFS 2011:710 Utkom från trycket den 17 juni 2011 utfärdad den 9 juni 2011. Enligt riksdagens beslut 1 föreskrivs 2 följande. 1

Läs mer

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism 2013-11-12 BESLUTSPROMEMORIA Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism FI Dnr 13-6295 Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan 3] Tel +46 8 787 80

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om administrativt samarbete inom Europeiska unionen i fråga om beskattning; SFS 2012:843 Utkom från trycket den 14 december 2012 utfärdad den 6 december 2012. Enligt riksdagens

Läs mer

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras Datum Vår referens Sida 2012-03-05 Dnr: 12-1100 1(6) Ert datum Er referens Ju2012/1000/L6 Nätsäkerhetsavdelningen Staffan Lindmark 08-678 57 36 staffan.lindmark@pts.se Justitiedepartementet Grundlagsenheten

Läs mer

Stockholm den 19 oktober 2015

Stockholm den 19 oktober 2015 R-2015/1084 Stockholm den 19 oktober 2015 Till FAR Sveriges advokatsamfund har genom remiss den 2 juli 2015 beretts tillfälle att avge yttrande över Nordiska Revisorsförbundets förslag till Nordisk standard

Läs mer

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med

Läs mer

EIOPA(BoS(13/164 SV. Riktlinjer för försäkringsförmedlares hantering av klagomål

EIOPA(BoS(13/164 SV. Riktlinjer för försäkringsförmedlares hantering av klagomål EIOPA(BoS(13/164 SV Riktlinjer för försäkringsförmedlares hantering av klagomål EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu

Läs mer

Svensk författningssamling

Svensk författningssamling SFS 0668-0666.fm Page 1 Tuesday, June 7, 2011 3:31 PM Svensk författningssamling Fastighetsmäklarförordning; utfärdad den 19 maj 2011. Utkom från trycket den 10 juni 2011 Regeringen föreskriver 1 följande.

Läs mer

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål BESLUT 1(7) Datum Vår referens Aktbilaga 2014-10-01 Dnr: 14-4682 10 Nätsäkerhetsavdelningen Peder Cristvall ComHem AB Org. nr 556181-8724 Bo Bredby FE 521 833 84 Strömsund Föreläggande om efterlevnad av

Läs mer

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB AVSKRIVNINGSBESLUT 1(5) Datum Vår referens Aktbilaga 2017-04-20 Dnr: 17-1211 Nätsäkerhetsavdelningen Ulrika de la Iglesia 08-678 56 29 ulrika.delaiglesia@pts.se Tele2 Sverige AB Årlig tillsyn över incidentrapportering

Läs mer

2

2 1 2 3 4 5 Några av stegen till en effektiv e-förvaltning är att bidra till etablerade processer för säker autentisering, identitetshantering och signering. Ett högaktuellt mål är att bidra till miljön

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om ackreditering och teknisk kontroll; SFS 2011:791 Utkom från trycket den 27 juni 2011 utfärdad den 16 juni 2011. Enligt riksdagens beslut 1 föreskrivs följande. Tillämpningsområde

Läs mer

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism 2013-09-09 R E M I S S P R O M E M O R I A FI Dnr 13-6295 Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan

Läs mer

Bilaga 3 till Cirkulär 09:46 1 (5)

Bilaga 3 till Cirkulär 09:46 1 (5) 1 (5) Prop. 2008/09:187 Förslag till lag om tjänster på den inre marknaden Härigenom föreskrivs följande. Inledande bestämmelse 1 Denna lag innehåller allmänna bestämmelser avseende tjänster som omfattas

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om ändring i läkemedelsförordningen (2006:272); SFS 2012:347 Utkom från trycket den 11 juni 2012 utfärdad den 31 maj 2012. Regeringen föreskriver 1 i fråga om läkemedelsförordningen

Läs mer

MEDDELANDE TILL LEDAMÖTERNA

MEDDELANDE TILL LEDAMÖTERNA EUROPAPARLAMENTET 2009 2014 Utskottet för framställningar 27.6.2014 MEDDELANDE TILL LEDAMÖTERNA Ärende: Framställning nr 0238/2012, ingiven av Sven D. Adler, tysk medborgare, om införande av yrket landskapsarkitekt

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket Beslut Dnr 2008-04-11 476-2007 Posten AB 105 00 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket Datainspektionens beslut Datainspektionen

Läs mer

En praktisk vägledning. Europeiskt Rättsligt Nätverk på privaträttens område

En praktisk vägledning. Europeiskt Rättsligt Nätverk på privaträttens område Användning av videokonferenser vid bevisupptagning i mål och ärenden av civil eller kommersiell natur enligt rådets förordning (EG) nr 1206/2001 av den 28 maj 2001 En praktisk vägledning Europeiskt Rättsligt

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om insyn i vissa finansiella förbindelser m.m.; SFS 2005:590 Utkom från trycket den 5 juli 2005 utfärdad den 22 juni 2005. Enligt riksdagens beslut 1 föreskrivs 2 följande.

Läs mer

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15 Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:

Läs mer

Lag (2008:962) om valfrihetssystem

Lag (2008:962) om valfrihetssystem Lag (2008:962) om valfrihetssystem 1 kap. Lagens tillämpningsområde Lagens omfattning 1 Denna lag gäller när en upphandlande myndighet beslutat att tillämpa valfrihetssystem vad gäller tjänster inom hälsovård

Läs mer

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se AVSKRIVNINGSBESLUT 1(7) Datum Vår referens Aktbilaga 2016-12-13 Dnr: 16-9097 32 Nätsäkerhetsavdelningen Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se Saken Tillsyn avseende domännamnsregistret

Läs mer

Uppdrag att överväga vissa frågor om fusion och delning samt om ökning av aktiekapitalet i aktiemarknadsbolag

Uppdrag att överväga vissa frågor om fusion och delning samt om ökning av aktiekapitalet i aktiemarknadsbolag Promemoria 2010 04 19 Ju 2009/8495/L1 Justitiedepartementet Enheten för fastighetsrätt och associationsrätt Uppdrag att överväga vissa frågor om fusion och delning samt om ökning av aktiekapitalet i aktiemarknadsbolag

Läs mer

KOMMISSIONENS TILLKÄNNAGIVANDE. om ett förenklat förfarande för handläggning av vissa koncentrationer enligt rådets förordning (EEG) nr 4064/89

KOMMISSIONENS TILLKÄNNAGIVANDE. om ett förenklat förfarande för handläggning av vissa koncentrationer enligt rådets förordning (EEG) nr 4064/89 KOMMISSIONENS TILLKÄNNAGIVANDE om ett förenklat förfarande för handläggning av vissa koncentrationer enligt rådets förordning (EEG) nr 4064/89 (Text med betydelse för EES) 1. I detta tillkännagivande beskrivs

Läs mer

Riktlinjer om MAR Personer som mottar marknadssonderingar

Riktlinjer om MAR Personer som mottar marknadssonderingar Riktlinjer om MAR Personer som mottar marknadssonderingar 10/11/2016 ESMA/2016/1477 SV Innehållsförteckning 1 Tillämpningsområde... 3 2 Definitioner... 3 3 Syfte... 4 4 Efterlevnads- och rapporteringsskyldigheter...

Läs mer

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2015-06-16 Dnr: 15-1621 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Årlig tillsyn över incidentrapportering och inträffade incidenter

Läs mer

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1282 Nätsäkerhetsavdelningen Anders Lindell 08-678 55 41 anders.lindell@pts.se Hi3G Access AB Årlig tillsyn över incidentrapportering och inträffade

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om ändring i lagen (1993:768) om åtgärder mot penningtvätt; SFS 2004:1182 Utkom från trycket den 15 december 2004 utfärdad 2 december 2004. Enligt riksdagens beslut 1 föreskrivs

Läs mer

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS FÖRORDNING

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS FÖRORDNING EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 18.05.2001 KOM(2001) 266 slutlig Förslag till RÅDETS FÖRORDNING om komplettering av bilagan till kommissionens förordning (EG) nr 1107/96 om registrering

Läs mer

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1327 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Telia Company AB Årlig tillsyn över incidentrapportering och

Läs mer

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk Version: 1.3 BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3

Läs mer

AVTAL GENOM SKRIFTVÄXLING OM BESKATTNING AV INKOMSTER FRÅN SPARANDE OCH DEN PROVISORISKA TILLÄMPNINGEN AV DETTA

AVTAL GENOM SKRIFTVÄXLING OM BESKATTNING AV INKOMSTER FRÅN SPARANDE OCH DEN PROVISORISKA TILLÄMPNINGEN AV DETTA AVTAL GENOM SKRIFTVÄXLING OM BESKATTNING AV INKOMSTER FRÅN SPARANDE OCH DEN PROVISORISKA TILLÄMPNINGEN AV DETTA A. Brev från Konungariket Sverige Jag ber att få hänvisa till avtalet mellan Konungariket

Läs mer

Stockholms läns författningssamling

Stockholms läns författningssamling Stockholms läns författningssamling Länsstyrelsen Länsstyrelsens i Stockholms läns allmänna föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; beslutade den 18 december 2009 (dnr

Läs mer

Personcertifiering Administrativa regler C22

Personcertifiering Administrativa regler C22 C22 utgåva 2, 2010-10-18 www.nordcert.se Dok.nr: C22 sid 1/7 Innehållsförteckning 0. Inledning 1. Bedömning före ansökan 2. Ansökan; förbindelser 3. Nordcerts granskning 4. Beslut om certifiering; certifikat

Läs mer

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-03-28 Dnr 114-2011 Försvararsamtal BAKGRUND Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) har Säkerhets-

Läs mer

Certifiering (EG-typkontroll) av personlig skyddsutrustning i kategori II och III, för CE-märkning

Certifiering (EG-typkontroll) av personlig skyddsutrustning i kategori II och III, för CE-märkning Certifiering (EG-typkontroll) av personlig skyddsutrustning i kategori II och III, för CE-märkning Inledning Detta är en information, utarbetad av SP, som kan användas som hjälpmedel för att sammanställa

Läs mer

Viktiga steg för gränsöverskridande e-legitimation

Viktiga steg för gränsöverskridande e-legitimation Viktiga steg för gränsöverskridande e-legitimation Nils Fjelkegård, Finansdepartementet Eva Sartorius, E-legitimationsnämnden Finansdepartementet Finansdepartementet Relevans för svenska myndigheter 1.

Läs mer

Allmänna Villkor för Tjänsten

Allmänna Villkor för Tjänsten Allmänna Villkor för Tjänsten 2014-12-23 1. OMFATTNING OCH DEFINITIONER 1.1. Dessa Allmänna Villkor för Kund gäller när Joblife AB (nedan kallad Joblife ) ger privatpersoner ( Användare ) tillgång till

Läs mer

M i g r a t i o n s ö v e r d o m s t o l e n MIG 2012:16

M i g r a t i o n s ö v e r d o m s t o l e n MIG 2012:16 M i g r a t i o n s ö v e r d o m s t o l e n MIG 2012:16 Målnummer: UM8366-09 Avdelning: 1 Avgörandedatum: 2012-10-08 Rubrik: Lagrum: Rättsfall: Dublinförordningen ska tolkas så att ett återkallande av

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Remissexemplar 2011-07-08 Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN Föreskrifter om ändring i Finansinspektionens föreskrifter och allmänna råd (FFFS

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer

AVTAL OM TJÄNSTER FÖR AVYTTRING AV MÖBLER OCH KONTORSINREDNING

AVTAL OM TJÄNSTER FÖR AVYTTRING AV MÖBLER OCH KONTORSINREDNING Mellan Post- och telestyrelsen organisationsnummer 202100-4359 (nedan kallad PTS) och XXXX organisationsnummer xxxxxx-xxxx (nedan kallad Företaget) har träffats följande AVTAL OM TJÄNSTER FÖR AVYTTRING

Läs mer

Användningen av elektronisk identifiering.

Användningen av elektronisk identifiering. DATUM RAPPORTNUMMER 19 september 2003 PTS-ER-2003:35 ISSN 1650-9862 Användningen av elektronisk identifiering. Hur ser marknaden ut och vilka är hindren mot en ökad användning? Delrapport till regeringen

Läs mer

BILAGA 1 Användarvillkor för ledningsägare

BILAGA 1 Användarvillkor för ledningsägare Dokumenttyp Datum. Sida Vår referens D-nr: 07-6365 2015-04-14 1 (5) Version C BILAGA 1 Användarvillkor för ledningsägare Användarvillkor för Ledningskollen.se Ledningskollen.se är en webbtjänst som syftar

Läs mer

Villkor för användande av Postens funktion spåra brev och paket

Villkor för användande av Postens funktion spåra brev och paket Villkor för användande av Postens funktion spåra brev och paket 1 Allmänt 1.1 Posten AB (publ), nedan kallat Posten, erbjuder företag och privatpersoner att ladda ner och använda Postens datorprogram med

Läs mer

Bolagsverkets författningssamling

Bolagsverkets författningssamling Bolagsverkets författningssamling ISSN 1652 6074 Bolagsverkets föreskrifter om elektronisk ansökan och anmälan enligt m.m.; beslutade den 3 juli 2006. BOLFS 2006:4 Utkom från trycket den 06 juli 2006 Bolagsverket

Läs mer

Riktlinjer. om villkor för finansiellt stöd inom koncerner enligt artikel 23 i direktiv 2014/59/EU EBA/GL/2015/

Riktlinjer. om villkor för finansiellt stöd inom koncerner enligt artikel 23 i direktiv 2014/59/EU EBA/GL/2015/ RIKTLINJER OM VILLKOR FÖR FINANSIELLT STÖD INOM KONCERNER EBA/GL/2015/17 08.12.2015 Riktlinjer om villkor för finansiellt stöd inom koncerner enligt artikel 23 i direktiv 2014/59/EU EBA:s riktlinjer om

Läs mer

Tillämpning av ny förordning om identitetskontroller

Tillämpning av ny förordning om identitetskontroller SKRIVELSE 1 (6) Datum 2015-12-30 Diarienr (åberopas) A544.009/2015 Polismyndigheten Nationella operativa avdelningen Gränspolissektionen Tillämpning av ny förordning om identitetskontroller Sammanfattning

Läs mer

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsyn över dokumentation av tillgångar och förbindelser AVSKRIVNINGSBESLUT 1(5) Datum Vår referens 2017-03-23 Dnr: 16-3568 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Hi3G Access AB Att. Magnus Forslund Tillsyn över dokumentation

Läs mer

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter EUROPEISKA KOMMISSIONEN GENERALDIREKTORAT XV Inre marknad och finansiella tjänster Fri rörlighet för informationstjänster. Bolagsrätt och finansiell information. Fri rörlighet för information, datasäkerhet

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF)

Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF) PROMEMORIA Datum 2013-06-27 uppdaterad 2014-01-08 och 2014-06-02 Frågor & svar om lagen om det nya regelverket för förvaltare av alternativa investeringsfonder (LAIF) Finansinspektionen Box 7821 SE-103

Läs mer

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104) N2011/559/ITP TSG 2011-87 Remissvar 1(5) Regeringskansliet Näringsdepartementet 103 33 Stockholm Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104) Transportstyrelsen ställer

Läs mer

Introduktion till eidas. Dnr: /

Introduktion till eidas. Dnr: / Introduktion till eidas Dnr: 131 151182-16/9517 2016-08-19 PM 1(5) Datum 2016-08-19 Innehåll 1 Vad är eidas?... 2 2 Elektronisk identifiering enligt eidas... 2 3 Betrodda tjänster enligt eidas... 3 4 Checklista

Läs mer

Användning av PRI Pensionsgarantis webbtjänst

Användning av PRI Pensionsgarantis webbtjänst Användning av PRI Pensionsgarantis webbtjänst PRI Pensionsgarantis kunder har möjlighet att utnyttja de webbtjänster som erbjuds på PRI Pensionsgarantis webbplats. För att kunna börja använda tjänsten

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Länsstyrelsen i Västra Götalands län

Länsstyrelsen i Västra Götalands län Länsstyrelsen i Västra Götalands län 14 FS 2009:534 14 FS 2013:66 14 FS 2015:35 14 FS 2015:64 Länsstyrelsen i Västra Götalands läns allmänna föreskrifter (14 FS 2009:534) om åtgärder mot penningtvätt och

Läs mer

Kammarkollegiets författningssamling

Kammarkollegiets författningssamling Kammarkollegiets författningssamling ISSN 1402-5345 ISSN 1654-9325 (on line) Utgivare: Bertil Kallner, Kammarkollegiet Fastighetsmäklarnämndens föreskrifter om åtgärder mot penningtvätt och finansiering

Läs mer

EUROPAPARLAMENTET. Utskottet för framställningar MEDDELANDE TILL LEDAMÖTERNA

EUROPAPARLAMENTET. Utskottet för framställningar MEDDELANDE TILL LEDAMÖTERNA EUROPAPARLAMENTET 2004 Utskottet för framställningar 2009 24.4.2009 MEDDELANDE TILL LEDAMÖTERNA Angående: Framställning 0930/2005, ingiven av Marc Stahl (tysk medborgare), om erkännande i Tyskland av examina

Läs mer

Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m.

Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m. Rubrik: Lag (2005:590) om insyn i vissa finansiella förbindelser m.m. SFS nr: 2005:590 Departement/myndighet: Näringsdepartementet Utfärdad: 2005-06-22 Observera att det kan förekomma fel i författningstexterna.

Läs mer

(Text av betydelse för EES)

(Text av betydelse för EES) L 301/22 18.11.2015 KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/2066 av den 17 november 2015 om fastställande, i enlighet med Europaparlamentets och rådets förordning (EU) nr 517/2014, av minimikrav

Läs mer

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL UTKAST Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om utövning av veterinäryrket PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL I denna proposition föreslås det att lagen Utöver

Läs mer

Europeiska unionens officiella tidning

Europeiska unionens officiella tidning 5.7.2014 L 198/7 EUROPEISKA CENTRALBANKENS BESLUT av den 31 januari 2014 om nära samarbete med nationella behöriga myndigheter i deltagande medlemsstater som inte har euron som valuta (ECB/2014/5) (2014/434/EU)

Läs mer

H 2 1 (7) Energimyndigheten Box 310 631 04 ESKILSTUNA. Ansökan om hållbarhetsbesked enligt hållbarhetslagen. 1 Rapporteringsskyldig aktör

H 2 1 (7) Energimyndigheten Box 310 631 04 ESKILSTUNA. Ansökan om hållbarhetsbesked enligt hållbarhetslagen. 1 Rapporteringsskyldig aktör H 2 1 (7) Dnr (ifylls av myndigheten) B Rapporteringsskyldighet och ansökan om hållbarhetsbesked regleras i lagen 2010:598 om hållbarhetskriterier för biodrivmedel och flytande biobränslen. Energimyndigheten

Läs mer

Regeringskansliet Faktapromemoria 2007/08:FPM127127. Nytt EG-direktiv mot diskriminering. Dokumentbeteckning. Sammanfattning

Regeringskansliet Faktapromemoria 2007/08:FPM127127. Nytt EG-direktiv mot diskriminering. Dokumentbeteckning. Sammanfattning Regeringskansliet Faktapromemoria Nytt EG-direktiv mot diskriminering Integrations- och jämställdhetsdepartementet 008-08-11 Dokumentbeteckning KOM (008) 46 slutlig Förslag till rådets direktiv om genomförande

Läs mer

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden. Konsekvensutredning Datum Vår referens Sida 2015-01-26 Dnr: 14-13006 1(14) Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Konsekvensutredning avseende upphävande av Post- och telestyrelsens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1579-2010 Socialnämnden i Botkyrka Kommun 147 785 Tumba Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut Datainspektionen

Läs mer

Kunden, Kund Fysisk eller juridisk person som träffat avtal om medlemskap med Grandeur.

Kunden, Kund Fysisk eller juridisk person som träffat avtal om medlemskap med Grandeur. Grandeur Sweden AB, 556885-4367 Dessa gäller för samtliga tjänster som Grandeur Sweden AB tillhandahåller sina kunder. Genom att teckna avtal om medlemskap med Grandeur Sweden AB godkänner Kunden dessa.

Läs mer

Styrelsens för ackreditering och teknisk kontroll författningssamling

Styrelsens för ackreditering och teknisk kontroll författningssamling Styrelsens för ackreditering och teknisk kontroll författningssamling ISSN 1400-4682 Utgivare: Kari Björkqvist STAFS 2007:7 Utkom från trycket 2007-05-10 Uppdaterad t.o.m. STAFS 2007:22 Styrelsens för

Läs mer

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål BESLUT 1(7) Datum Vår referens Aktbilaga 2014-06-27 Dnr: 14-4175 22 Nätsäkerhetsavdelningen Peder Cristvall 08-6785529 peder.cristvall@pts.se Tele2 Sverige AB Att: Stefan Backman Box 63 164 94 Kista Föreläggande

Läs mer

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-06-14 Dnr 139-2011 Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämndens

Läs mer

Utdrag ur protokoll vid sammanträde

Utdrag ur protokoll vid sammanträde 1 LAGRÅDET Utdrag ur protokoll vid sammanträde 2016-03-15 Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Agneta Bäcklund. Ändringar i lagen om tillämpning av Europeiska

Läs mer

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning. Regeringskansliet Faktapromemoria Dataskyddsförordning för EU:s institutioner Justitiedepartementet 2017-02-13 Dokumentbeteckning KOM(2017) 8 Proposal for a regulation of the European Parliament and of

Läs mer