Juridisk vägledning för införande av e-legitimering och e-underskrifter E-legitimationsdagen 2018 Per Furberg 2018-02-02
Utgångspunkter Det behövs 1. ett sammanhållet e-legitimationssystem Det blev olika legitimeringslösningar Det blev olika upphandlingssätt Det blev olika kravspecifikationer 2. en sammanhållen lösning för undertecknande Det blev olika lösning för underskriftstjänst Det blev olika upphandlingssätt (olika system) 3. en gemensam juridisk förklaringsmodell för legitimering/underskrift Hur sorteras det som i praktiken etablerades in under gällande rätt? Får en rättshandling (legitimering eller underskrift) rättsverkan? t.ex. vid en tvist i domstol eller när straffansvar aktualiseras efter ett missbruk? 2
Vägledningen förklarar hur de tekniska funktionerna är uppbyggda förklarar vilka rättsregler som aktualiseras förklarar vilka säkerhetsåtgärder som behöver vidtas ger stöd genom hela införandet med hjälp av checklistor Beskriver utifrån ett helhetsperspektiv men i behov av uppdateringar
Vägledningens innehåll Ger överblick Hur går det till? Hindrar formkrav? Vem/vad/hur? Brottsliga förfaranden? Vilka bevis finns? 4
Parter inom den infrastruktur som skapas
Tjänster och avtal som hör till infrastrukturen E-legitimationsavtal utfärdare/innehavare Avtal om eget utrymme innehavare/myndighet med e-tjänst Del i e-legitimationsavtalet utfärdare/innehavare Förlitandeavtal Myndighet med e- tjänst/leverantör av identitetsintyg Avtal om underskriftstjänst Myndighet/leverantör Avtalen ska reglera två områden Tillhandahållandet av tjänster De rättshandlingar som utförs
Hur e-legitimering fungerade i äldre system Förlitandeavtalet omfattade bara detta Resten fick användaren göra själv eller skaffa annat avtal med leverantör 2017-06-26 7
En ny rollfördelning växte fram Utfärdare av e-leg förser användare med e-legitimation och en legitimeringsfunktion (jfr app för Mobilt BankID styrs till en tjänst från e-tjänsten) Leverantör av identitetsintyg gör kontroller i en identifierings- och intygsfunktion* förser förlitande part med identitetsintyg* *Se vägledningen kapitel 4.9 och 4.10 2017-06-26 8
System från 2014 Förlitandeavtalet omfattade även detta E-legitimering beskrivs närmare i kap. 4 2017-06-26 9
Nuvarande e-legitimationssystem Aktör Tillhandahåller Levererar till Juristerna behöver känna till detta för att kunna göra juridiska bedömningar 2017-06-26 10
Samma juridiska person kan ha flera roller Ett till ett plus ett 2017-06-26 11
Legitimering - direkt leverans Ett enda intyg (svar vem som legitimerat sig) 2017-06-26 12
Legitimering - indirekt leverans Två intyg (svar) 2017-06-26 13
Hur fungerar e-underskrift i dagens system Aktör Tillhandahåller Det blir mycket för myndigheten att kravställa och upphandla! Levererar till E-underskrift beskrivs närmare i kap. 5 14
Elektroniska underskrifter olika sätt 1. Använder underskriftscertifikatet i e-legitimationen 2. Använder legitimeringscertifikatet i e-legitimationen Legitimering för underskrift startar process för att skapa ett tillfälligt engångsunderskriftscertifikat Eller kanske en bankdosa
Direkt underskrift legitimering Dokument underskrift Underskriftstjänst Underskrift 16
Indirekt underskrift legitimering underskrift Underskriftstjänst Dokument Särskilt underskriftscertifikat Underskrift Juristerna behöver känna till detta för att kunna göra juridiska bedömningar Hur indirekt får det vara utan att karaktären av avancerad förloras? 17
För den som inför e-legitimering och e-underskrift är också flera vägledningar och uttalanden av intresse bland annat esam e-legitimering/e-underskrifter E-delegationen e-original m.m. Formelgruppen (Ds 2003:9) Nu senast esams rättsliga uttalanden om eget utrymme, och ankomstdag för e-handlingar
Dessutom börjar rättskällor dyka upp som domstolar direkt har att beakta; aktuella exempel E-underskrivna domar m.m. Invändning om att det inte skulle vara en avancerad e-underskrift och att det i vart fall är någon annan som skrivit under Bevisbördefrågan väl motiverad av HD Men hur är det med frågan om vad som ska anses vara en avancerad e-underskrift enligt eidas-förordningen?
Formkrav (VL kap. 6) Kräver en författning underskrift = hinder Men hinder mot e-underskrifter undanröjs stegvis Nu senast lagstiftning om underskrift av domstolsavgöranden, godkännande av strafföreläggande/ordningsbot och ansökan om betalningsföreläggande/handräckning Lagmotiven ger oss viktig information Avvägningar mellan elektronisk underskrift och avancerad elektronisk underskrift Kan återanvändas av myndigheterna när de bedömer skyddsnivåer för underskrift i sina e-tjänster
Avancerad eller vanlig underskrift Motivuttalandena ger stöd för liknande bedömningar inom andra områden
I andra fall krävs avancerade underskrifter Motsvarande balanserade avvägningar bör göras när e-underskrifter ska införas i t.ex. en myndighets e-tjänst Sker ett missbruk finns
Underskriftens funktioner Vägledningens beskrivning (5.5) bekräftas i huvudsak av lagmotiven Detta måste ses tillsammans med principen om fri bevisprövning
Ett avgörande av HD om e-underskrift och beviskrav Tvist om angiven person (a) skrivit under ett låneavtal elektroniskt och (b) om det skett med en avancerad e-underskrift; svarandens invändningar Använda funktioner har inte resulterat i en avancerad e-underskrift Någon annan har skrivit hennes namn inte ingått påstått låneavtal Äkthetsfråga 1: skapad med relevant säkerhetslösning Äkthetsfråga 2: skapad av angiven person
Bedömningen Av HD skapad bevisregel
Nya missbruk av e-leg 1. Lura innehavaren att logga in en fysisk person säljare användare OK säljaren släpps in och agerar där Logga in ifyllt av säljaren 2. Förmå innehavaren att logga in en robot leverantör av e-tjänst OK användare robot släpps in och agerar där Logga in så att vi Förfalskningar förnekanden av underskrift är ovanliga i e-legitimationssammanhang kan hämtaoch dina uppgifter fylls i av leverantör
Några frågor i anknytning till HDs dom Inget resonemang i ett tvistemål om vad som utgör brott det noterades endast Redovisning i aktbilaga av Finansinspektionens bedömning av säkerhetslösningen enligt reglerna om penningtvätt
Dataintrång (BrB 4:9c) Exempel: X legitimerar sig med Y:s e-legitimation och släpps därmed in i en e-tjänst med eget utrymme hos myndighet Z sa att X får se sekretessbelagd information om Y. Genom att myndighet Z, till följd av olaglig legitimering, släpper in X i tron att det är Y har X gjort sig skyldig till dataintrång.
Brott mot tystnadsplikt Ett utlämnande som äger rum till någon som har missbrukat annans e- legitimationer är en följd av ett missbruk som normalt inte kan läggas myndigheten till last, varken uppsåtligen eller som oaktsamhet. Dessutom ska det i ringa fall inte ska dömas till ansvar. Den som missbrukat annans e-legitimation på detta sätt har uppsåtligen främjat gärningen (det otillåtna utlämnandet) sa att medverkan till brottet föreligger alltså ansvar för den som missbrukat e-leget
Ansvar i övrigt Parternas mellanhavanden vid legitimering, underskrift, kontroll och intygande regleras i avtal Olika typer av ansvar, bl.a. civilrättsligt (skadestånd m.fl. sanktioner) Inom kontrakt Utom kontrakt näringsrättsligt (tillsyn och åtgärder av myndighet) persondataskydd etc.
Avslutande kapitel Ett systematiskt informationssäkerhetsarbete (kap. 9) Bevarande och gallring (kap. 10) Persondataskydd (kap. 11) eidas-förordningen (kap. 12) Checklistor (kap. 13) 2017-06-26 32
Bevarande och gallring (Kap. 10) E-legitimering och e-underskrift skapar stora mängder allmänna handling, Gör en gallringsutredning Riksarkivet kan meddela RAMS:ar, RAFS? Juridisk checklista i kap. 13
Tre checklistor (Kap.13) 1. Införande av e-legitimering 2. Införande av e-underskrifter 3. Hantering av bevarande och gallring 2017-06-26 34