Särtryck ur 2008:12. Elektronisk identifiering och underskrift i Sverige

Transkript

1 Särtryck ur 2008:12 Elektronisk identifiering och underskrift i Sverige

2 2

3 Innehållsförteckning SAMMANFATTNING INLEDNING BAKGRUND UPPDRAGET ARBETETS GENOMFÖRANDE PÅGÅENDE UTREDNINGAR VAD ÄR EN E-LEGITIMATION? HANTERING AV E-LEGITIMATIONEN FRÅN E-TJÄNSTELEVERANTÖRENS PERSPEKTIV ANVÄNDNING BEHOVSANALYS ELEKTRONISK FÖRVALTNING NUVARANDE FÖRSÖRJNING AV E-LEGITIMATIONER ANVÄNDARASPEKTER SÄKERHET SAMLAD PROBLEMBILD FÖR DAGENS E-LEGITIMATIONER INTERNATIONELL UTBLICK EU-GEMENSAMMA INITIATIV STORK och S.O.S Tjänstedirektivet NATIONELLA INITIATIV FÖRVALTNINGENS MÅLBILD ALTERNATIVA VÄGAR INLEDNING TRE UTGÅNGSPUNKTER FÖR UTVECKLINGEN AV E-LEGITIMATIONER FYRA ALTERNATIV FÖR DEN FORTSATTA UTVECKLINGEN Utveckling av dagens upphandlingsmodell (alternativ 1) Ett helstatligt alternativ (alternativ 4) En reglerad marknadslösning med privat eller statlig samordning (alternativ 2 och 3) VERVAS FÖRSLAG SVENSK E-LEGITIMATION Två typer av e-legitimationer för fysiska personer Förankring i standard för Svensk e-legitimation NATIONELLT ID-KORT SOM BÄRARE AV E-LEGITIMATIONEN FÖRFATTNINGSREGLERING AV E-LEGITIMATIONER Varför författningsreglering? Regleringsalternativ Vilka frågor bör författningsregleras? TVÅ TYPER AV CERTIFIKAT FÖR ORGANISATIONER EN SAMORDNINGSFUNKTION Uppdraget Funktioner Teknisk beskrivning Arbetsområde och stödfunktioner Rättslig reglering KOSTNADER OCH FINANSIERING Utgångspunkter Kostnader för samordningsfunktionen Kostnader för användning av e-legitimationer Finansiering

4 7.7 FÖRVÄNTADE EFFEKTER AV VERVAS FÖRSLAG YTTERLIGARE INSATSER REKOMMENDATIONER TILL REGERINGEN VERVAS FORTSATTA ARBETE...45 BILAGOR MÅLBILD FÖR SVENSK E-LEGITIMATION MED SIKTE PÅ SAMMANFATTNING AV SYNPUNKTER FRÅN VERVAS HEARING DEN 22 MAJ INTERNATIONELL JÄMFÖRELSE

5 Sammanfattning En förutsättning för en effektiv och säker e-förvaltning är att alla som behöver använda e-tjänster har tillgång till enkla och säkra metoder för elektronisk legitimering. Vervas bedömning är att dagens upphandlingsmodell inte fungerar för en fortsatt utveckling. Det finns önskemål om att komma tillrätta med ett antal upplevda svagheter, bl.a. tekniska komplikationer, en krånglig affärs- och prismodell samt brist på transparens och långsiktighet. Dagens lösningar innebär också problem i en rad användningssituationer. Utmaningar finns i samband med både anskaffning, användning och uppdatering av e-legitimationer. Verva föreslår att regeringen säkerställer att det finns en för Sverige reglerad ordning för e-legitimationer som ger stöd för såväl kvalificerade som avancerade elektroniska signaturer, genom att: begreppen Svensk e-legitimation och Svensk e-tjänstelegitimation införs och definieras på lämpligt sätt i författning för att ges tillräcklig rättslig grund så att den kan respekteras inom Sverige och i relation med andra länder, en certifieringsordning utformas för föreslagna e-legitimationer, det Nationella ID-kortet ska kunna användas som bärare av Svensk e-legitimation, samt genom att stämpelcertifikat och servercertifikat för organisationer införs genom fastställande av administrativa regler om hur organisationer ska identifieras och hur de ska tilldelas nycklar och certifikat. För att underlätta möjligheterna att styra mot en enhetlig, öppen och långsiktigt hållbar användning av e-legitimationer och övriga funktioner i offentlig förvaltning, föreslår Verva att en samordningsfunktion i myndighetsform inrättas. Samordningsfunktionens uppgifter ska fastställas i författning och den ska ha egen föreskriftsrätt i vissa frågor. Samordningsfunktionen ska tillhandahålla tekniska funktioner till anslutna myndigheter och hantera förhållandet till utfärdarna på ett för såväl förvaltningen som användarna sammanhållet sätt. Den ska också utgöra en europeisk kontaktpunkt en s.k. Trusted Node. Dagens affärsmodell är utformad så att myndigheterna betalar för den spärrkontroll och validering som sker vid användningen av e-legitimationerna. Ersättning till leverantörerna för 2007 uppgick till drygt 77 miljoner kronor. En utgångspunkt inför fortsättningen är att finansieringsmodellen ska möjliggöra alternativa finansieringssätt. Detta innebär att kostnaderna bör kunna fördelas på flera intressenter. För att detta ska vara möjligt måste åtgärder vidtas för att avsevärt höja nyttan av e-legitimationer. Nya och attraktiva e- 5

6 tjänster behöver produceras som innebär besparingar för såväl medborgare och företag som myndigheter. De åtgärder regeringen föreslås vidta under 2008 är att: Besluta att närmare utreda formerna för en författningsreglering av Svensk e-legitimation m.m. Besluta att inrätta en samordningsfunktion och ge den i uppdrag att påbörja arbetet med att bygga funktioner och tjänster för offentlig förvaltning, inklusive övergången från dagens situation till den föreslagna lösningen. Fastställa att Svensk e-legitimation ska kunna laddas ned på chippet i det Nationella ID-kortet. I avvaktan på regeringens inriktningsbeslut kommer Verva att arbeta vidare med en rad närliggande frågor, bl.a. förvaltning och vidareutveckling av dagens system, användbarhet och användarnytta vid kravställande av e-legitimationer, samt fortsätta den pågående dialogen med olika intressenter i förvaltningen om organisationslegitimationer med personangivelse. 6

7 1 Inledning 1.1 Bakgrund Arbetet med att utveckla elektroniska tjänster (e-tjänster) har pågått sedan mitten av 1990-talet. I början utvecklades olika lösningar (t.ex. användar- ID, PIN-koder, skrapkort), för att säkerställa behörig användning av förvaltningens e-tjänster. Det har hela tiden funnits ett tryck på att utveckla säkra lösningar för elektronisk identifiering och elektroniska underskrifter. Statskontoret gjorde den första upphandlingen av elektronisk identifiering år 2001 och år 2004 genomfördes nästa upphandling. Enligt regeringens handlingsplan för e-förvaltning 1 är elektronisk identifiering en viktig faktor för tilliten och dialogen mellan myndigheter, medborgare och företag. Skälet för detta är att det i många ärenden finns ett behov av säker identifiering, krav på underskrift och skydd för den personliga integriteten. 1.2 Uppdraget Regeringen har gett Verva i uppdrag att leda och samordna statsförvaltningens utvecklingsarbete med säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar. 2 Uppdraget har därefter preciserats till att även omfatta förslag till en modell för en långsiktig hantering av elektroniska legitimationer (e-legitimationer). Enligt uppdraget ska Verva ta fram ett underlag för kommande inriktningsbeslut av regeringen. Underlaget ska omfatta förslag till alternativa vägar för samordning och hantering av e- legitimationer, inklusive förslag till finansieringsalternativ och övergripande kostnadsbedömningar för genomförande och hantering. Underlaget ska också presentera en lösning som tillgodoser behovet av sådana organisationslegitimationer som krävs för säkert informationsutbyte mellan organisationer, så att samverkan kan ske med nödvändigt förtroende och tillit. Verva ska redovisa förslagen till regeringen senast den 19 juni Verva har med anledning av uppdraget lämnat en delrapport om inriktningen av Vervas kommande arbete med e-legitimationer och tjänster för elektronisk identifiering (e-id-tjänster), även kallad Färdplanen. 3 I denna föreslås att e-legitimationer bör anpassas till den normala hanteringen för idkort och legitimationshandlingar. Vidare föreslås att det bör skapas en mer öppen och konkurrensutsatt marknad både för allmänhetens tillgång till och för användningen av e-legitimationer inom näringsliv och förvaltning. I delrapporten finns en färdplan över hur förslaget kan realiseras under en period på 5-6 år. 1 Handlingsplan för eförvaltning Nya grunder för IT-baserad verksamhetsutveckling i offentlig förvaltning, Fi2008/491 (delvis), regeringsbeslut Fi2006/6773 (delvis) och Fi2006/967, regeringsbeslut Säkert informationsutbyte och säker hantering av elektroniska handlingar, VERVAR 2007:13. 7

8 Färdplanen har som slutmål att personliga publika e-legitimationer 4 ska bli lika naturliga att använda i kontakten med leverantörer av elektroniska tjänster i samhället som s.k. SIS-godkända 5 id-kort är i dag. Avsikten är att vedertagna kontrollmetoder (ackreditering, certifiering m.m.), tillämpas för utfärdare av personliga e-legitimationer som försörjer både offentlig förvaltning och näringslivet med metoder för elektronisk identifiering och underskrift. 1.3 Arbetets genomförande Arbetet har genomförts av en projektgrupp på Verva. Till gruppen har konsulter med ett flertal olika kompetenser knutits. Arbetet har bedrivits i nära samverkan med berörda externa intressenter, i första hand myndigheter, kommuner, landsting och länsstyrelser. En referensgrupp med företrädare från alla delar av den offentliga förvaltningen har funnits tillgänglig vid framtagande av en gemensam målbild för förvaltningen (se kapitel 5 nedan och bilaga 1). En hearing har genomförts där företrädare från såväl offentlig förvaltning som näringslivet fanns representerade. En sammanfattning av de inbjudnas synpunkter finns i bilaga Pågående utredningar Vid framtagande av en lösning för e-legitimationer i Sverige är det av intresse att väga in andra initiativ med såväl direkt som indirekt beröring med frågorna. Nedan refereras några sådana pågående initiativ. En ny förvaltningslag (Dir. 2008:36) En utgångspunkt för utredarens arbete ska vara att göra förvaltningslagens regler så pedagogiska och lättillgängliga som möjligt och dessutom anpassade för en alltmer utbyggd elektronisk förvaltning. I direktiven sägs att förvaltningsmyndigheterna under det senaste decenniet i betydande utsträckning har övergått till elektroniska förfaranden. Det är därför angeläget att förvaltningslagen anpassas till den elektroniska förvaltningen och att lagen inte innebär eller upplevs innebära några hinder mot den fortsatta utvecklingen på detta område. ID-kort för folkbokförda i Sverige (SOU 2007:100) En utredning har haft i uppdrag att utreda hur personer som inte är svenska medborgare, men som har rätt att vara bosatta i Sverige, ska kunna få ett identitetskort. 4 E-legitimationer som utfördas till fysiska personer och som är generellt användbara i samhället. 5 Swedish Standards Institute (SIS), skapade de ursprungliga reglerna som numer övertagits av Det Norske Veritas AS (DNV) som ansvarar för certifieringen enligt Särskilda Bestämmelser (SBC 151). 8

9 Utredningen redovisar uppfattningen att det inte är lämpligt att göra det föreslagna ID-kortet tillgängligt för personer som tillfälligt bor och arbetar i Sverige utan att vara folkbokförda här, eftersom systemet med samordningsnummer inte är lika utvecklat som folkbokföringen. Behovet bedöms inte heller vara så stort. Frågan kan dock, enligt utredningen, behandlas i samband med den pågående översynen av folkbokföringslagen (Folkbokföringsutredningen, Dir. 2007:123) Utredningen har också lämnat ett förslag som innebär att alla polismyndigheter ges ansvar för att utfärda ett ID-kort för personer som fyllt 16 år och är folkbokförda i landet enligt folkbokföringslagen. Folkbokföringen i framtiden (Dir. 2007:123) En särskild utredare ska göra en allmän översyn av 1991 års folkbokföringslag. Utredaren ska bedöma om bestämmelserna är ändamålsenliga utifrån folkbokföringens uppgifter att säkerställa personers bosättning, registrera personuppgifter och förse myndigheter, företag och andra med korrekta och aktuella uppgifter om befolkningen. I uppdraget ingår också att se hur systemet med samordningsnummer fungerar i praktiken och hur den nuvarande uppbyggnaden av personnumren kan ändras, så att behovet av ett större antal personnummer kan tillgodoses. Utredningen har den 9 juni 2008 lämnat ett delbetänkande (SOU 2008:60). Samordningsnummer och anmälan om dödfödd m.m. (regeringens proposition 2007/08:58) I propositionen föreslås att uppgifter om personer som tilldelats samordningsnummer ska få ingå i det statliga personadressregistret (SPAR), om det inte råder osäkerhet om personernas identitet. Det föreslås även att registret ska få innehålla uppgift om själva samordningsnumret. Ändringarna föreslås träda i kraft den 1 juni Mot denna bakgrund framstår det enligt regeringen som lämpligt att ett IDkort även ska kunna utfärdas för personer med samordningsnummer som har registrerats i SPAR. 9

10 10

11 2 Vad är en e-legitimation? En e-legitimation är en personlig identitetshandling 6 som kan användas i elektronisk kommunikation och e-tjänster. Med en e-legitimation kan man legitimera sig elektroniskt mot e-tjänster på Internet samt skriva under handlingar elektroniskt. Samhällets försörjning med e-legitimationer och förvaltningens försörjning med tjänster för elektronisk identifiering (e-id-tjänster) bygger sedan 2001 på upphandlade ramavtal. Denna styrning, tillsammans med vägledningar från den tidigare e-nämnden 7 och SAMSET-projektet 8, har gjort att benämningen e-legitimation kunnat etableras inom Sverige för denna typ av elektronisk identitetshandling. Vissa banker använder begreppet BankID för sina e-legitimationer. E-legitimationen kan idag fås antingen som en fil för lagring på hårddisk (mjuk lagring) eller låst till en fysisk bärare (hård lagring), t.ex. ett s.k. smart card. Utifrån användarens perspektiv har e-legitimationen två funktioner: Att legitimera sig så att den som tillhandahåller en e-tjänst kan identifiera den som använder tjänsten. Vid användning av en e-legitimation överförs information om användarens identitet elektroniskt till mottagaren och verifieringen sker genom ett förfarande baserat på att användaren är i besittning av en hemlig krypteringsnyckel som bara kan aktiveras med hjälp av en s.k. PIN-kod. Att underteckna handlingar elektroniskt, t.ex. en till Skatteverket inlämnad inkomstdeklaration. Vid användning av en e-legitimation för underskrift låser användaren informationens innehåll med en privat krypteringsnyckel som bara kan aktiveras med en hemlig PIN-kod. Mottagaren verifierar via ett dekrypteringsförfarande att informationsinnehållet inte har förändrats och kan bindas till den person som skapat den elektroniska underskriften. 2.1 Hantering av e-legitimationen från e- tjänsteleverantörens perspektiv En organisation som tillhandahåller en e-tjänst som kräver legitimering eller underskrift måste kunna verifiera att e-legitimationen är giltig. I detta ingår bl.a. att kontrollera om e-legitimationen är spärrad. 9 Denna kontroll måste 6 Beträffande certifikat för organisationer hänvisas till avsnitt Nämnden för elektronisk förvaltning upphörde i och med att dess verksamhet fördes över till Verva den 1 januari Regeringen fattade den 21 december 2000 beslut om att ge dåvarande Riksskatteverket i uppdrag att under ett inledningsskede ha ett sammanhållande ansvar för administrationen av certifikat för elektronisk identifiering och elektroniska signaturer inom statsförvaltningen. Projektet bedrevs under namnet SAMSET (SAMhälletS Elektroniska Tjänster). 9 Se avsnitt i e-nämndens (numera Verva) vägledning för hantering av inkommande elektroniska handlingar (e-nämnden 05:02). Där anges vilka kontroller som bör göras och 11

12 kunna göras av organisationen mot samtliga utfärdare av e-legitimationer. Organisationen måste även kunna hantera skillnader i programvara hos användargrupper tillhörande olika utfärdare. För att underlätta detta, samt för att garantera att kontrollen sker korrekt, använder organisationen sig i regel av en speciell programvara i e-tjänsten. Konstruktionen åskådliggörs i nedanstående illustration. e-leg utfärdad av Handelsbanken e-leg utfärdad av Swedbank e-leg utfärdad av Nordea e-leg utfärdad av TeliaSonera Användare med e-legitimation Identifiering Verifiering av underskrift e-tjänst hos organisation X Spärrkontroll Handelsbanken Swedbank Nordea TeliaSonera Utfärdare av e-legitimationer 2.2 Användning Enligt undersökningar av Statistiska centralbyrån 10 har 85 % av privatpersonerna i åldern år någon gång använt Internet. En fjärdedel av dessa har skickat in ifyllda blanketter i elektroniskt format till myndigheter, kommuner eller landsting. Undersökningen avseende företag visar att nästan alla företag (94 %) med 10 eller fler anställda har Internet. Samma undersökning visar att drygt hälften av företagen returnerar ifyllda blanketter till myndigheterna med hjälp av Internet och att drygt en fjärdedel av företagen utför en fullständig elektronisk ärendehantering 11 med myndigheterna. Myndigheter, landsting och kommuner har varit föregångare då det gäller att anpassa e-tjänster för e-legitimationer, men även den privata sektorn börjar se en nytta med e-legitimationer. Via e-legitimationen kan användare således få tillgång till ett växande antal såväl offentliga som privata e-tjänster. vilken information som bör finnas tillgänglig när elektroniska handlingars äkthet ska kontrolleras. 10 Privatpersoners användning av datorer och Internet 2007, SCB, december 2007, Företagens användning av IT 2007, SCB, december Med detta avses att företaget med hjälp av inloggningsförfaranden kan initiera, komplettera, följa eller ta del av information och händelser avseende ärenden hos myndigheter. 12

13 3 Behovsanalys 3.1 Elektronisk förvaltning Under flera år har användningen av informationsteknik i administration och förvaltning varit en drivande kraft som skapat förutsättningar för innovation och effektivitet i vardagliga rutiner och tjänster. Tekniken skapar också förutsättningar för att förenkla och förbättra medborgarnas och företagens kommunikation med offentlig förvaltning genom bl.a. utvecklingen av elektroniska tjänster. Detta innebär samtidigt att offentlig förvaltning har möjlighet och behov av att se över sin ärendehantering och interna processer när de utvecklar enkla och användbara e-tjänster. Samtidigt behöver dagens lösningar för säkert informationsutbyte och elektronisk kommunikation vidareutvecklas för att stärka tilliten till och effektiviteten i de offentliga systemen. För en effektiv utveckling av elektroniskt informationsutbyte i samhället behöver därför vissa grundförutsättningar etableras. En del av dessa grundförutsättningar utgörs av tekniska, rättsliga och administrativa lösningar som dels garanterar en tillräckligt säker identifiering, dels ger ett fullgott skydd av den personliga integriteten. Lösningarna är i sin tur en förutsättning för en ökad inre effektivitet i förvaltningen i form av t.ex. automatiserade ärendeprocesser och elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter, medborgare och företag. I den undersökning som Verva gjorde år visade det sig att drygt hälften av myndigheternas ärendeslag kräver identifiering och/eller underskrift. Elektroniska lösningar för identifiering finns framtagna för hälften av ärendeslagen där sådana krävs och elektroniska lösningar för underskrift finns för knappt en tredjedel av ärendeslagen där detta krävs. De lösningar som behandlas i denna rapport bör i första hand ses som en del av utvecklingen av informationssamhällets infrastruktur, där e-legitimationer utgör en viktig byggsten vid utvecklingen av e-tjänster. Lösningarna utgör också en förutsättning för säker elektronisk kommunikation i samhället generellt. Det ska vara lika naturligt att t.ex. kommunicera, avtala och handla elektroniskt som det idag är i den fysiska världen. Integrerade e-tjänster Med integrerade e-tjänster avses sådana e-tjänster som innefattar medverkan från flera myndigheter, men som användaren uppfattar som en enda sammanhållen tjänst. Att e-tjänsten är integrerad innebär också att flera myndigheter samverkar för att leverera tjänsten och att tjänsten är integrerad med system och register hos de medverkande myndigheterna. Exempel på funktionalitet som kan ingå i en integrerad tjänst: 12 Hur är läget? 2007 års uppföljning av myndigheternas arbete med e-förvaltning, VERVAR 2008:1. 13

14 Individ- och företagsrelaterad information hämtas från flera myndigheters register och struktureras så att den bildar en meningsfull helhet för användaren. Ansökningar, anmälningar eller inrapportering som ska lämnas till mer än en myndighet och som delvis omfattar samma uppgifter förpackas så att de ur användarens perspektiv uppfattas som ett enda ansöknings- respektive anmälningstillfälle. En förutsättning av stor betydelse för integrerade e-tjänster är att en och samma e-legitimation ska kunna användas i kontakterna med hela den offentliga sektorn och i e-tjänster som tillhandahålls av den privata sektorn. 3.2 Nuvarande försörjning av e-legitimationer Ramavtal De flesta av dagens modeller för e-legitimationer är i huvudsak baserade på det uppdrag angående administration av certifikat för elektronisk identifiering och elektroniska signaturer i statsförvaltningen som Justitiedepartementet gav till dåvarande Riksskatteverket den 21 december I uppdraget ingick att samordna statsförvaltningens krav och behov inför upphandling och avrop av certifikat och tillhörande tjänster för elektronisk identifiering och elektroniska signaturer. Dagens ramavtal för elektronisk identifiering (e-id) omfattar att leverantörerna ska utfärda e-legitimationer till användare i enlighet med de krav som staten ställer, samt tillhandahålla myndigheterna tjänster för kontroll av e-legitimationer. Detta innebär att leverantörerna svarar för de e-legitimationer man utfärdar, för avtal och kontakter med privatpersoner och för att hela infrastrukturen för e-legitimationer och e-underskrifter uppfyller ramavtalets krav. Metoden med central upphandling av tjänster för elektronisk identifiering och elektroniska underskrifter utgör grunden för den nuvarande försörjningen av e-legitimationer. Ramavtalen är upphandlade för statliga myndigheter och de kan själva välja att göra avrop från dessa. Kommunala myndigheter erbjuds att ansluta sig till upphandlingen och får därmed också möjlighet att avropa på dessa avtal. Kraven på e-legitimationer formuleras i en kravspecifikation som definierar vad som är en e-legitimation under den tid som ramavtalet gäller (några år), samt anges i e-nämndens Grundläggande vägledning för myndigheternas användning av e-legitimationer och elektroniska underskrifter. Idag tillhandhålls e-legitimationer som en elektronisk tjänst främst av bankerna. Som kund i en internetbank är användarens identitet säkerställd genom bankens förfarande, som innefattar en kontroll mot folkbokföringsregistret. I och med detta kan internetbanken erbjuda sina kunder att ladda 13 Ju 2000/4939, regeringsbeslut

15 ner en e-legitimation som kunden kan använda för att legitimera sig med och göra underskrifter elektroniskt. Myndigheter köper genom ramavtal tjänsten att kontrollera de e-legitimationer som respektive utfärdare (bank, grupp av samverkande banker eller annan), har utfärdat. För att kunna kontrollera e-legitimationer för alla som besöker en e-tjänst måste varje myndighet teckna avtal för kontroll av e- legitimationer med alla utfärdare som har ramavtal (i dagsläget minst tre stycken). Det finns för närvarande två ramavtalsområden som har anknytning till e- tjänster och användningen av e-legitimationer för identifiering och underskrift. Det rör sig om ramavtalsområdena elektronisk identifiering (e-id) och den s.k. Infratjänsten. Elektronisk identifiering Verva har upphandlat ramavtal som gäller fram till den 30 juni Ramavtalen för elektronisk identifiering omfattar tjänster för; personlig e-legitimation, personlig e-legitimation för riktad grupp, serverlegitimation, e-legitimation för myndighetens elektroniska stämpel, och tjänstelegitimation. Alla ramavtalsleverantörer tillhandahåller tjänster för personlig e-legitimation. Ramavtal har tecknats med Swedbank AB, Nordea Bank AB, Steria AB, Svenska Handelsbanken AB och TeliaSonera Sverige AB. Startpaket för e-identifiering För att stimulera myndigheter, landsting och kommuner att utveckla även sådana e-tjänster som kräver användning av e-legitimationer, gav regeringen hösten 2006 Verva i uppdrag att under perioden fördela 12 miljoner kronor år 2006 och år 2007 samt 10,9 miljoner kronor för år Verva har tagit fram ett startpaket som ger statliga myndigheter, landsting och kommuner kostnadsfri tillgång till kontroll av elektroniska legitimationer. Verva subventionerar även stöd under ett fortsättningsår för den tid regeringen ger finansiellt stöd för e-legitimationen. Startpaketet riktar sig till myndigheter, kommuner och landsting som inte sedan tidigare använder elektronisk identifiering i sina e-tjänster. För att kunna ansöka ska man ha en e-tjänst framtagen och klar att lansera och man måste dessutom vara berättigad att avropa från Vervas ramavtal. Totalt har under den aktuella perioden 48 ansökningar beviljats och 5,96 miljoner kronor utdelats. Störst antal ansökningar beviljades år 2007 då 35 ansökningar beviljades och 4,33 miljoner kronor delades ut. 15

16 Infratjänsten Ramavtalen för Infratjänsten erbjuder myndigheterna ett lätthanterligt tjänstealternativ till egen utveckling och drift av viktiga funktioner, bl.a. ett enhetligt gränssnitt mot e-id-leverantörer. Avtalen definierar också en plattform för myndigheternas och IT-leverantörernas utveckling av de faktiska e- tjänsterna och verksamhetsapplikationerna. Avtalen ger tillgång till funktioner i form av tjänster som behövs för att utveckla och driva e-tjänster. Ramavtalen för Infratjänster gäller fram till den 30 september 2009 med möjlighet till ytterligare 6 månaders förlängning. 3.3 Användaraspekter I arbetet med att skapa ett samhälle för alla ska de statliga myndigheterna vara ett föredöme och visa vägen. En förutsättning för en effektiv och säker e-förvaltning är därför att alla som behöver använda e-tjänster har tillgång till enkla och säkra metoder för elektronisk legitimering. För att lyckas fullt ut med spridningen av e-legitimationsanvändningen krävs därför ett medborgar- och användarcentrerat synsätt. Om medborgarna inte vill eller kan använda e-legitimation, får de e-tjänster som erbjuds en för låg användningsgrad och effektiviseringsvinsterna uteblir. Man riskerar också att stänga ute de grupper som har mest kontakter med myndigheter. Idag använder mer än 1,5 miljoner personer i Sverige sina e-legitimationer för offentliga och privata e-tjänster varje månad. Detta är en hög användningsgrad i en internationell jämförelse. Dessutom ökar användningen av e- legitimationer kontinuerligt. Såväl enskilda som myndighetsrepresentanter och företagare kan ha olika förutsättningar för att använda e-legitimation. I Målbilden ingår att man oavsett funktionshinder ska ha full tillgång till förvaltningens e-tjänster där e-legitimering krävs. I förordning (2001:526) om de statliga myndigheternas ansvar för genomförandet av handikappolitiken fastställs att myndigheterna särskilt ska verka för att bl.a. deras information är tillgänglig för personer med funktionshinder. För att genomföra detta arbete ska myndigheterna göra inventeringar och handlingsplaner. Framtida e-legitimationer måste av den anledningen uppfylla höga krav på tillgänglighet och enkelhet för personer med funktionsnedsättningar. Detta innefattar t.ex. personer som är utvecklingsstörda eller har problem med skriven text, som är blinda eller gravt synskadade eller har stora minnes- och koncentrationssvårigheter. Det bör också beaktas att funktionshindrade riskerar att bli en särskilt utsatt grupp när det gäller t.ex. identitetsstöld. 3.4 Säkerhet Samhällets ökande beroende av informationsteknik (it) ställer höga krav på fungerande säkerhetslösningar. Myndigheter som samverkar kring e-tjänster 16

17 måste känna förtroende för varandra när det gäller åtkomst till och utbyte av information. Medborgare och företag måste känna tillit till myndigheternas sätt förmåga att skydda den personliga integriteten m.m. Lösningar för elektronisk identifiering och underskrift är därför viktiga komponenter i en nödvändig säkerhetsarkitektur för att möjliggöra en effektiv IT-användning för såväl offentlig förvaltning som privat verksamhet. För kritiska områden inom it finns en lång tradition av utveckling av standarder som kan bidra till att olika system kan samverka och till en kostnadseffektiv styrning av verksamhetsutvecklingen. Motsvarande utveckling finns också på det säkerhetstekniska området, från metoder för kryptering till metoder för elektronisk legitimering och underskrifter m.m. Verva har i en föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte 14 ställt krav på tillämpning av standarder för ledning och styrning av informationssäkerhet. Föreskriften ålägger statliga myndigheter att bedriva informationssäkerhetsarbetet i former som överensstämmer med följande etablerade standarder för informationssäkerhet. Ett ledningssystem för informationssäkerhet (LIS) kan utgöra en beslutsmodell för när det är lämpligt att använda e-legitimationer för elektronisk identifiering och underskrift i samband med e-tjänster. 3.5 Samlad problembild för dagens e- legitimationer Verva lyfter i detta avsnitt fram två huvudsakliga problemområden med dagens e-legitimationer; försörjningsmodellen och användningen. Försörjningsmodellen Metoden att definiera och bygga en infrastruktur av e-legitimationer baserad på upphandlingar har under ett inledande skede varit framgångsrik, men Vervas bedömning är att den inte fungerar för en fortsatt utveckling. Det finns från olika håll önskemål om att komma tillrätta med upplevda svagheter i dagens modell. Följande har bl.a. framförts: Teknisk komplexitet Många myndigheter upplever det som tekniskt komplicerat att anpassa sina e-tjänster till dagens koncept för e-id, där utfärdare kräver olika typer av dialog för identifiering och underskrift med olika programvaror som inte följer internationell standard och därför saknas i de vanliga utvecklingsmiljöerna. Krånglig affärs- och prismodell Det anses finnas problem med de prismodeller som har tillämpats vid upphandlingarna. Myndigheterna har också svårt att förstå och hantera de affärs- och avtalsmodeller som har tillämpats vid upphandlingarna. 14 VERVAFS 2007:2 17

18 Brister i upphandlingsmodellen Upphandlingsmodellen saknar förutsättningar för att ge tillräcklig öppenhet och långsiktighet. Bristande flexibilitet Dagens lösningar har inte tagit hänsyn till att det för olika typer av e- tjänster krävs olika säkerhetslösningar. Användningen Dagens tekniska lösningar innebär också begränsningar i en rad användningssituationer. Utmaningar finns i samband med både anskaffning, användning och uppdatering av e-legitimationer. Här är några exempel: Oflexibel användning Nedladdningsbara (mjuka) e-legitimationer gör det svårt att använda publika datorer och datorer på arbetsplatsen. Det finns önskemål om mobilitet och användning av e-legitimationer via olika elektroniska kanaler. Tillgänglighet Idag kan inte alla som stadigvarande vistas i landet få en e-legitimation för sin användning av offentliga e-tjänster. Personer under 16 år kan idag inte skaffa e-legitimation. För personer mellan 16 och 18 år kan det vara svårt att hitta en utfärdare. Låg användbarhet och tillgänglighet Olika utfärdare har olika gränssnitt mot användaren, vilket försvårar igenkänningen. För personer med funktionsnedsättningar är det ofta nedladdning, installation och användning av e-legitimationen som är det största hindret för att använda en e-tjänst. Att som gravt synskadad få ut en e-legitimation kan vara svårt om information endast skickas som text. Vervas bedömning är att en generell och gemensam infrastruktur för e- legitimationer underlättar för organisationer som erbjuder e-tjänster att tillhandahålla enkla och användbara lösningar. E-tjänsteleverantörerna kan fokusera på tjänsternas innehåll istället för att lägga resurser på att utveckla egna identifieringslösningar. Individerna behöver å sin sida inte hålla reda på organisationers olika sätt att identifiera sina användare. En generell lösning skapar förutsägbarhet för användaren. Förutsägbarhet skapar i sin tur trygghet och tillit. 18

19 4 Internationell utblick 4.1 EU-gemensamma initiativ STORK och S.O.S. Inom EU finns för närvarande 60 miljoner e-legitimationer som används i relation med den offentliga sektorn och i många fall även med den privata sektorn. STORK-projektet (Secure identity AcrOss borders linked), ska utveckla EU-gemensamma metoder och regelverk för att öppna landsgränserna för e-legitimationer baserade på respektive lands infrastruktur för identifiering och underskrift. Syftet är att göra det möjligt för var och en att använda sin nationella e-legitimation i kontakt med andra länders e-tjänster på samma sätt som kan ske på ett nationellt plan. Det ska även vara möjligt att använda e-legitimationen när man besöker ett annat land. Syftet med STORK-projektet är att: Bidra till en snabbare utveckling av publika e-tjänster genom att samordna nationella lösningar och EU-initiativ för e-tjänster som fordrar säkra identifieringar och underskrifter och genom att utveckla en federeringsordning för e-id-tjänsterna. Prova enkla och säkra e-id-lösningar som stöds av verkliga e-tjänster för medborgare, för små och stora företag och för anställda i offentlig förvaltning med både lokala, regionala och gränsöverskridande e-tjänster. Verva har bedömt det som viktigt att redan i planeringen av kommande utveckling kunna harmonisera den svenska lösningen med de utredningar som görs inom ramen för STORK. Verva har därför tillsammans med Skatteverket enats om att Sverige ska delta i projektet. Andra svenska åtaganden PEPPOL 15 och S.O.S. 16 är två parallella EU-projekt inom ramen för CIPprogrammet 17 som berör den svenska utvecklingen av e-legitimationer. PEPPOL avser gränsöverskridande offentlig upphandling och e-handel. Ett delområde i PEPPOL är användning av elektroniska signaturer t.ex. vid anbudslämnande. Projektet drivs med norskt huvudmannaskap där Sverige medverkar i en referensgrupp. S.O.S. avser gränsöverskridande e-hälsotjänster. Syftet med projektet är att stärka patientsäkerheten vid vård i annan medlemsstat och möjliggöra en europeisk patientrörlighet mellan medlemsstaterna. Även i detta projekt är kontrollen av identiteter med hjälp av e-legitimation en viktig förutsättning. 15 Pan European Public Procurement Online (PEPPOL). 16 Smart Open Services (S.O.S.). 17 Competitiveness & Innovation Framework Programme (CIP). 19

20 Sverige är projektkoordinator bland 13 deltagande medlemsstater och industripartners. Formell ägare av projektet är Sveriges Kommuner och Landsting med finansiering från Socialdepartementet. Arbetet sker i samspel med STORK-projektet på EU-nivån, samt koordinerat med uppföljningen av den Nationella IT-strategin för vård och omsorg på nationell nivå Tjänstedirektivet Direktivet syftar till att underlätta för tjänsteleverantörer att erbjuda sina tjänster över nationsgränserna. Där det finns tillståndsförfaranden så ska enligt artikel 8 dessa vara tillgängliga på elektronisk väg. I praktiken betyder detta att elektroniska förfaranden måste vara tillgängliga för alla de förvaltningsärenden som tjänsteleverantörerna behöver uträtta. Vidare måste tjänsteleverantörer kunna välja att kommunicera direkt med en relevant myndighet, t.ex. i fall där endast en behörig myndighet är inbegripen och om det kan vara enklare att ha direkt kontakt med den myndigheten. Det innebär att svenska myndigheter, eller den nationella kontaktpunkten, ska kunna acceptera elektroniska legitimationer från andra medlemsstater. EG:s tjänstedirektiv ska vara genomfört av medlemsstaterna senast den 28 december Genomförandet förutsätter att medlemsstaterna gör nödvändiga ändringar och kompletteringar av sina respektive lagstiftningar, samt vidtar vissa andra konkreta åtgärder för att uppfylla de krav som ställs på bl.a. administrativ förenkling. 4.2 Nationella initiativ En redogörelse över några länders lösningar av försörjning med e-legitimationer finns i bilaga 3. Syftet med redogörelsen är att jämföra olika länders lösningar för e-legitimation. Jämförelser länder emellan som rör administrativa strukturer är p.g.a. olika förvaltningsmodeller osäkra. Utvecklingen av e-legitimationer i olika länder sker ofta i växelverkan mellan befintliga lösningar och behov av att lösa problem med hjälp av den kraft som frigörs när något nytt ska införas. Generellt kan sägas att det inom Europa och EU finns flera exempel på sektorsbaserade applikationer som kan kopplas till olika livssituationer, t.ex. hälsa och sjukvård, eller till olika egenskaper, t.ex. organisationstillhörighet. Flera länder har pågående planer på en nationell e-legitimation som en del av deras arbete med utvecklingen av en e-förvaltning. Vissa har kommit längre än andra. 20

21 5 Förvaltningens Målbild För att fånga förvaltningens förväntningar på utvecklingen inom området har Verva i samarbete med representanter för stat, kommun och landsting tagit fram en gemensam målbild. Målbilden tar hänsyn till gjorda erfarenheter och förbättringsbehov genom att beskriva en önskvärd framtida situation för e-legitimationer. Målbilden har varit allmänt tillgänglig på Vervas webbplats för lämnande av synpunkter. Målbilden återfinns i sin helhet i bilaga 1. 21

22 22

23 6 Alternativa vägar 6.1 Inledning I den tidigare nämnda Färdplanen (se avsnitt 1.2) beskrivs ett ramverk och en riktning för den fortsatta utvecklingen av e-legitimationer. Baserat på Färdplanen, Målbilden och resultaten från ett antal diskussioner med företrädare för såväl offentliga organ som leverantörer inom området, beskrivs och analyseras här några alternativa vägar för utvecklingen. 6.2 Tre utgångspunkter för utvecklingen av e- legitimationer Verva har formulerat följande tre utgångspunkter för utvecklingen av e- legitimationer. Funktion och legitimitet Denna utgångspunkt sammanfattar krav på: att e-legitimationer är tillgängliga för allmänheten. Alla som behöver använda offentliga e-tjänster kan skaffa en e-legitimation, att e-legitimationer är välkända för allmänheten, att e-legitimationer är lättanvända för alla, också för personer med funktionsnedsättningar, samt att de är anpassade till moderna metoder och modern teknik, att e-legitimationer har en hög legitimitet genom att de bygger på ett regelverk som utgår ifrån svensk författning, att e-legitimationer går att använda för offentliga e-tjänster nationellt och inom EU, samt att de är öppna för användning i privata e-tjänster, samt att e-legitimationer är kända för hög kvalitet, säkerhet och skydd av användarens personliga integritet. Affärsmässig mångsidighet Denna utgångspunkt sammanfattar krav på: att e-legitimationer utfärdas och används under former som är öppna för olika modeller för finansiering och stöd, samt att e-legitimationer av olika klasser, riktade mot olika grupper av användare och på olika tekniska plattformar, kan hanteras samtidigt inom en och samma affärsmodell. Teknisk mångsidighet Denna utgångspunkt sammanfattar krav på: att e-legitimationer bygger på tekniska lösningar som följer standarder och därmed ger stöd för och förenklar myndigheternas arbete med att bygga och förvalta de e-tjänster där e-legitimationer krävs, 23

24 att e-legitimationer bygger på tekniska lösningar som är anpassade till och kan ge stöd för skyddet av den personliga integriteten, att e-legitimationer bygger på tekniska lösningar som är anpassade till och kan ge stöd för personer med funktionsnedsättningar, att kommande former av e-legitimationer och ny teknik kan integreras utan att myndigheterna dvs. den förlitande parten behöver anpassa sina gränssnitt. Detta ger möjligheter till migrering av de tekniker som används för e-legitimationer, att e-legitimationer bygger på tekniska lösningar som är anpassade till och kan förberedas för säker kommunikation över nationsgränserna, i första hand inom EU, samt att hanteringen av e-legitimationer bygger på tekniska lösningar som är förberedda för breddning och vidareutveckling, t.ex. inom området säker hantering av kompletterande information om användare. 6.3 Fyra alternativ för den fortsatta utvecklingen Med hänsyn till ovan beskrivna utgångspunkter ser Verva att det finns fyra möjliga vägval. Dessa vägval baseras på olika grader av statligt ansvar och åtagande Utveckling av dagens upphandlingsmodell (alternativ 1) Ett alternativ utgörs av en fortsatt utveckling av den modell med centrala ramavtalsupphandlingar som hittills använts. Detta alternativ innebär ett minimalt statligt åtagande i förhållande till de övriga alternativen. Det är en utpräglad marknadslösning där utfärdarna (leverantörerna) står för hela infrastrukturen av e-legitimationer som etableras i samhället. Varje myndighet (statliga myndigheter samt de kommuner och landsting som valt att ansluta till upphandlingen), måste i princip teckna avtal för kontroll av e-legitimationer med alla utfärdare som har ramavtal. Myndigheterna köper genom ramavtal tjänsten att få kontrollera giltigheten hos de e-legitimationer som respektive leverantör utfärdar. En fördel med denna lösning är att det finns en befintlig infrastruktur att bygga vidare på och kommande insatser och investeringar kan därför hållas på en begränsad nivå. Mot detta står emellertid att dagens upphandlingsmodell dels innebär risk för bristande kontinuitet genom att godkända utfärdare kan variera mellan upphandlingarna, dels bristande öppenhet och långsiktighet genom att utfärdade e-legitimationer definieras genom krav som är bundna till en viss upphandling och inte genom generella och självständiga definitioner som kan certifieras och löpande kontrolleras av oberoende part. Därtill kommer att de tilldelningsbeslut som fattas i hög grad är föremål för domstolsprövning. Vidare kan det vara svårt att finna utfärdare som har intresse av och möjligheter att utfärda e-legitimationer till alla persongrupper i samhället. 24

25 Denna brist skulle emellertid gå att rätta till genom att det Nationella IDkort som nu ges ut av polisen får sin funktion som bärare av e-legitimationer aktiverad Ett helstatligt alternativ (alternativ 4) En annan lösning är att staten helt tar hand om att utfärda alla e-legitimationer som kan användas till offentliga e-tjänster, dvs. ett maximalt statligt åtagande. Utmärkande för detta alternativ är att det endast finns en utfärdare av e-legitimationer för offentliga e-tjänster. Fördelen med detta alternativ är att staten här kan sätta en de facto-standard och slippa ta hänsyn till de skillnader som idag finns inom området och som fördyrar utbyggnaden av e-tjänster inom förvaltningen. Med endast en utfärdare har e-legitimationerna alla förutsättningar att etableras som ett tydligt och välkänt begrepp och varumärke. Utfärdandet kan ske under specifikationer och regler som gäller alla offentliga tjänster och e-legitimationen får därmed hög tillit och acceptans. Ett helstatligt alternativ kan dock föra med sig att marknadens förutsättningar begränsas när inga andra utfärdare kommer att finnas för e-legitimationer till offentliga e-tjänster. Efter en första upphandling där en leverantör fått uppdraget, begränsas konkurrenternas intresse för att tillgodose den offentliga förvaltningens behov. Samtidigt kan staten hamna i en beroendeställning till en leverantör En reglerad marknadslösning med privat eller statlig samordning (alternativ 2 och 3) Erfarenheterna från upphandlingarna av elektronisk identifiering visar på två tydliga behov: dels att enhetlighet, öppenhet och en långsiktigt hållbar ordning säkerställs, dels att modeller med flera utfärdare förutsätter samordning i någon form. En möjlighet för att möta dessa behov är att reglera formerna för utfärdandet av e-legitimationerna. Samtidigt kan hanteringen och funktionerna för användningen av dessa samordnas på ett lämpligt sätt. Denna samordning kan ske antingen i privat eller statlig regi. Härigenom tillvaratas de två grundläggande och bärande egenskaperna hos alternativen 1 och 4, dvs: Styrkan med en marknad med många utfärdare som präglar alternativ 1. Styrkan med en tydlig statlig styrning för e-legitimationer som präglar alternativ 4. Dessa två egenskaper utgör fasta punkter för Vervas fortsatta redogörelse som bygger på en tydlig reglering av e-legitimationer och inrättandet av en 25

26 samordningsfunktion. Frågor om reglering redovisas i avsnitt 7.1 respektive 7.5 Frågan huruvida huvudmannaskapet för samordningsfunktionen ska bedrivas i privat eller statlig regi kan beskrivas enligt följande: Privat samordning (alternativ 2) Detta alternativ baseras på en samordningsfunktion där en organisation tillhandahåller tjänster till respektive myndigheter som förlitande part. Samordningsfunktionen blir i detta fall en servicebyrå. En samordningsfunktion i privat regi som tillhandahåller tjänster till respektive förlitande myndighet innebär en utvidgad användning av samma modell som för dagens Infratjänst. Denna form av samordningsfunktion styrs genom bl.a. avtal och upphandlingar av tjänster för att kunna säkerställa teknisk mångsidighet. Statlig samordning (alternativ 3) Detta alternativ bygger på att samordningsfunktionen hanteras av en myndighet som genom delegation ges föreskriftsrätt. Föreskriftsrätten kan omfatta frågor om standarder, gränssnitt och andra tekniska förutsättningar för den offentliga förvaltningens användning av e-legitimationer. 26

27 7 Vervas förslag 7.1 Svensk e-legitimation Förslag: Verva föreslår att regeringen säkerställer att det finns en reglerad ordning för e-legitimationer som ger stöd för såväl kvalificerade som avancerade elektroniska signaturer. 18 begreppen Svensk e-legitimation och Svensk e-tjänstelegitimation införs och definieras på lämpligt sätt i författning för att ges tillräcklig rättslig grund så att den kan respekteras inom Sverige och i relation med andra länder, en certifieringsordning utformas för föreslagna e-legitimationer, det Nationella ID-kortet ska kunna användas som bärare av Svensk e-legitimation, samt genom att stämpelcertifikat och servercertifikat för organisationer införs genom fastställande av administrativa regler om hur organisationer ska identifieras och hur de ska tilldelas nycklar och certifikat. De e-legitimationer som idag erbjuds personer har specificerats i samband med offentliga upphandlingar och det finns ingen författningsreglerad definition av dem. För att skapa tydlighet och öppenhet finns därför behov av att införa en enhetlig och långsiktigt hållbar ordning för de e-legitimationer som ska ge tillgång till förvaltningens e-tjänster. Verva föreslår därför att begreppet Svensk e-legitimation och Svensk e- tjänstelegitimation införs och definieras i författning. En författningsreglering ger nödvändig legitimitet och innebär att Svensk e-legitimation kan skyddas och respekteras inom Sverige och i relation med andra länder. Grundläggande krav på den svenska e-legitimationen är att den ska: bygga på en reglering som definierar dagens och morgondagens funktionskrav, omfatta funktioner för såväl elektronisk identifiering som elektronisk underskrift, bygga på tillämplig europeisk säkerhetsstandard, samt kunna användas för e-tjänster inom hela den offentliga sektorn och vara öppen för användning inom den privata sektorn. Svensk e-legitimation ska vara tillgänglig för alla fysiska personer som kan få en svensk ID-handling och som har behov av offentliga e-tjänster i Sverige. För organisationer ska det finnas en möjlighet att få ett certifikat för identifiering. 18 I dokumentet används begreppet elektronisk signatur när beskrivningen är kopplad till lagreglering. I övrigt används begreppet elektronisk underskrift. 27

28 7.1.1 Två typer av e-legitimationer för fysiska personer Baserat på e-nämndens Grundläggande vägledning för myndigheternas användning av e-legitimationer och elektroniska underskrifter 19 föreslår Verva att följande typer av e-legitimationer ska finnas: En Svensk e-legitimation som utfärdas för fysiska personer. En Svensk e-tjänstelegitimation som utfärdas för fysiska personer i deras egenskap som anställda eller uppdragstagare och innehåller uppgifter om organisationstillhörighet Förankring i standard för Svensk e-legitimation Sverige har genom lagen (2000:832) om kvalificerade elektroniska signaturer (e-signaturlagen) genomfört EG:s direktiv 1999/93/EC (13 december 1999 on a Community Framework for Electronic Signatures and Their National Implementation). Två europeiska standarder har utarbetats för att underlätta det praktiska arbetet när produkter och tjänster som avser kvalificerade och avancerade elektroniska signaturer enligt lagen skapas och används. Genom att Svensk e-legitimation baseras på e-signaturlagen kan den användas för att möta lagens krav på avancerade signaturer. Därmed anknyter den till arbetet med gränsöverskridande e-tjänster inom EU. Detta ger Svensk e- legitimation en internationell förankring och påverkar den både funktionellt och tekniskt. För att tillgodose olika behov utfärdas e-legitimationer i tre klasser: Klass 1 mjuk e-legitimation Avancerade elektroniska signaturer med krypteringsnycklar skyddade i krypterad mjukvara (datafil). Säkerhetskraven ska motsvara den europeiska standarden ETSI TS NCP. 20 Klass 2 hård e-legitimation Avancerade elektroniska signaturer med krypteringsnycklar skyddade i hårdvara (microchip eller motsvarande). Säkerhetskraven ska motsvara den europeiska standarden ETSI TS NCP+. Klass 3 kvalificerad e-legitimation Avancerade elektroniska signaturer ingår som ett krav tillsammans med kvalificerade certifikat och säker anordning för signaturframställning enligt e-signaturlagen för att skapa kvalificerade elektroniska signaturer i enlighet med lagens definition. Säkerhetskraven ska motsvara den europeiska standarden ETSI TS Nämnden för elektronisk förvaltning, 04:02 20 The European Telecommunications Standards Institute (ETSI). 28