eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Relevanta dokument
eidas i korthet Eva Sartorius

Vem är du och vad får du göra?

Hur skapar du en koppling mellan svenska och utländska eid:n?

eidas och Svensk e-legitimation

Viktiga steg för gränsöverskridande e-legitimation

Introduktion till eidas. Dnr: /

E-legitimering och e-underskrift Johan Bålman esam

Informationsmöte om eidas-förordningen. Nalen konferens den 22 och den 23 november 2017

E-legitimeringssystemet - så här fungerar det och de här avtalen finns. Anna Månsson Nylén

Är era e-tjänster redo? Nu vill nya och utländska e-legitimationer in!

eidas införande i Sverige Björn Scharin, PTS

Kopplingsregister eidas. Förstudie

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Hjälp oss att bygga upp ett bra stöd för era e tjänster kopplat till utländska e legitimationer genom att svara på denna enkät.

Status

E-legitimationsdagen dag 2. Elektroniska underskrifter och dokument - hur lever vi upp till eidas lagkrav i vår vardag?

2

FÖRSLAG TILL YTTRANDE

Svensk e-legitimation och eidas

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Dags att anpassa e-tjänsterna. Fler e-legitimationer är på väg in!

Anpassa era e-tjänster. Med nya och utländska e-legitimationer behövs också fristående underskriftstjänst

Kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

e-sens erfarenheter av utländska e-legitimationer

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering

Regler för momshantering vid e-fakturering inom EU

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Leverantörsmöte om tekniska specifikationer

Betänkandet SOU 2017:114 Reboot omstart för den digitala förvaltningen

Juridisk vägledning för införande av e-legitimering och e-underskrifter

Resultat från eidas-enkäten Dnr: /

E-legitimationer enligt eidas

PTS informationsmöte om eidas och betrodda tjänster

Infrastruktur med möjligheter

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Kommittédirektiv. Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (N 2016:01) Dir. 2016:39

Vad händer här och nu? E-legitimationsnämndens aktiviteter

Svensk författningssamling

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Fördjupad utredning rörande koppling mellan utländska eid-handlingar och svenska identitetsbeteckningar

Skåne läns författningssamling


Stockholm den 22 augusti 2019

Regeringskansliets rättsdatabaser

Introduktion till SAML federation

(Icke-lagstiftningsakter) FÖRORDNINGAR

Svenska och utländska e-legitimationer vad händer?

Svensk författningssamling

Vad händer här och nu? Projekt och på gång på E-legitimationsnämnden 2018 Annika Bränström Anna Månsson Nylén Inger Greve

Koppling mellan europeiska eid-handlingar och svenska personnummer eller styrkta samordningsnummer

Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande

Svensk författningssamling

Remiss av PM: Myndigheters tillgång till tjänster för elektronisk identifiering

Resultat från E-legitimationsenkäten

Vad händer med översynen av Svensk e-elegitimation?

Svensk författningssamling

BILAGA 3 Tillitsramverk Version: 2.1

Yttrande över slutbetänkandet Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: Mottagare:

Svensk författningssamling

Finansinspektionens författningssamling

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Finansinspektionens författningssamling

Koncernkontoret Området för informationsförsörjning och regionarkiv

Yttrande över reboot omstart för den digitala förvaltningen (SOU 2017:114)

Datum Vägledning. För betrodda tjänster i Sverige enligt eidas Utgåva 1

Finansinspektionens författningssamling

EUs lagstiftning om personlig skyddsutrustning (PPE) Förordning (EU) 2016/425 (PPE Förordningen)

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

RÅDETS DIREKTIV 2001/115/EG

Svensk författningssamling

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

BILAGA 1 Definitioner

Informationssäkerhet för samhällsviktiga och digitala tjänster

Thomas Edling (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

FÖRSLAG TILL YTTRANDE

Anmälan om föreståndare för explosiv vara

EUROPEISKA KOMMISSIONEN GENERALDIREKTORATET FÖR TRANSPORT OCH RÖRLIGHET

Svensk författningssamling

Tekniskt ramverk för Svensk e- legitimation

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

E-legitimationsutredningen SOU 2010:104

Innehåll 1(14) Granskningsdokumentation

Elevlegitimation ett konkret initiativ.

Utredningen om effektiv styrning av nationella digitala tjänster

Regeringskansliet Faktapromemoria 2016/17:FPM69. Initiativ rörande reglering av yrken. Dokumentbeteckning. Sammanfattning. Utbildningsdepartementet

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remissvar angående slutbetänkandet Reboot omstart för den digitala förvaltningen, SOU 2017:114

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

EUROPEISKA DATATILLSYNSMANNEN

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Regeringskansliet Faktapromemoria 2012/13:FPM107. Fri rörlighet för officiella handlingar. Dokumentbeteckning. Sammanfattning. Justitiedepartementet

Avtal. Artikel 1. Danmark, Finland, Island, Norge och Sverige, nedan kallade de fördragsslutande staterna,

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ

2. Ytterligare kontaktuppgifter, inbegripet telefon- och faxnummer och, i tillgängliga fall, e-postadress (frivilligt).

Länsstyrelsen i Västra Götalands län

Transkript:

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Vad är eidas? EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG Förordning som gäller sedan 1 juli 2016 Syfte: öka förtroendet för elektroniska transaktioner på den inre marknaden underlätta för EU-medborgare och företag att identifiera sig elektroniskt och använda betrodda tjänster över landsgränserna skapa gemensam grund för ett säkert elektroniskt samspel mellan medborgare företag och offentliga myndigheter

eid Gränsöverskridande elektronisk identifiering AS Betrodda tjänster för elektroniska transaktioner Rättslig ram för bland annat e-underskrifter

Betrodda tjänster? En elektronisk tjänst som gör att man bl.a. kan skriva under elektroniskt eidas etablerar regler för dessa tjänster och de som tillhandahåller dem Reglerna gäller för hela den inre marknaden oavsett om det är gränsöverskridande eller ej

Kvalificerad och andra Förordningen skiljer på kvalificerade och andra betrodda tillhandahållare och tjänster Kvalificerade ska certifieras av ett oberoende organ PTS för upp kvalificerade tillhandahållare och tjänster på en s.k. trusted list PTS utövar tillsyn på samtliga betrodda tjänster

reboot omstart för den digitala förvaltningen (SOU 2017:114) Utredningen om effektiv styrning av nationella digitala tjänster lämnade sitt betänkande den 10 januari 2018 Hade bl.a. i uppdrag att lämna förslag i utestående frågor gällande den nationella tillämpningen av eidas-förordningen

E-legitimering över gränser

Inloggning med utländska eid:n över landsgränserna fungerar inte idag

Hur löser eidas detta? Medlemsstater anmäler e-legitimationer till Kommissionen Etablerar tillitsnivåer för anmälda e-legitimationer Krav på ömsesidigt erkännande av anmälda e- legitimationer Trafiken över gränserna hanteras genom s.k. noder

Ramlag E-legitimering behandlas i artikel 6 t.o.m. 12 Genomförandebestämmelser sätter närmare ramarna för bl.a. anmälningsförfarande, teknik och interoperabilitet Medlemsstaterna kommer överens om Thechnical specifications

Anmälan av E-legitimation Medlemsstater kan anmäla en eller flera e- legitimationer till EU Går i god för att en viss e-legitimation kan spåras till endast en individ Ingen extern granskning peer review Krav på tillitsnivå låg, väsentlig eller hög enligt eidas

Tillitsnivå? Ett standardiserat sätt att prata om hur säker en e- legitimation är I Sverige använder vi E-legitimationsnämndens tillitsramverk Nivå 1, 2, 3 eller 4 eidas krav beskrivs i genomförandebestämmelse Låg, väsentlig eller hög

Tillitsnivåer (Svensk e- legitimation) eidas Låg (2) Väsentlig (3) Hög (4)

Ömsesidigt erkännande (art 6) Efter den 29 september 2018 ska offentliga organ erkänna anmälda utländska e-legitimationer på nivå väsentlig eller hög Detta gäller vid inloggning i e-tjänster som kräver e- legitimation

Vad betyder erkänna? Finns ingen praxis och finns olika uppfattningar bland medlemsstaterna Skäl 14 bör endast avse autentisering, åtkomsten till nättjänsten och slutlig leverans till användaren bör vara kopplad till den nationella rätten att ta emot sådana tjänster

Erkänna enligt SOU 2017:114 Målsättningen bör att användaren ska få tillgång till de e-tjänster hen har behov av Erkännande ska avse identifieringen men inte den slutliga åtkomsten till tjänsten Om användaren nekas tillträde ska användaren hälsas välkommen och få information om varför hen inte får tillträde, vad som krävs för att få tillträde (t.ex. svenskt personnummer). Användaren bör alltid kunna hänvisas till analog service. (s. 307-315)

E-legitimeringar mellan eidas-länderna slussas via landsnoder

Era tjänster måste kunna ansluta till den svenska noden

Era tjänster måste kunna ansluta till den svenska noden E-legitimationsnämnden ansvarar för och driver den svenska noden

Era tjänster måste kunna ansluta till den svenska noden Nämndens tekniska ramverk styr tekniken på den svenska sidan (SAML 2.0)

Era tjänster måste kunna begära och ta emot identitetsintyg i rätt format Svensk digital tjänst Begäran om identitetsintyg Identitetsintyg Utländsk eidutfärdare

Era tjänster måste kunna begära och ta emot identitetsintyg i rätt format Svensk digital tjänst Begäran om identitetsintyg Identitetsintyg Utländsk eidutfärdare Nämndens tekniska ramverk (SAML 2.0)

Era e-tjänster måste erbjuda möjligheten att identifiera sig

Hur får man tillgång till de utländska e- legitimationerna? Behöver vi upphandla?

Myndigheters interna behov av systemanpass ning Utländska e- legitimationer Nya svenska e- legitimationer BankID Telia Trafiken regleras genom eidas Anskaffning av samma karaktär Funktion för identitetskontroll

Trafiken regleras genom eidas och kräver inget särskilt avtal

Anslutningen till noden Behov av att reglera hur anslutningen ska gå till och förhållandet till den myndighet som ansvarar för noden Överenskommelse/avtal passar inte Anslutning är inte frivilligt om Sverige ska uppfylla sina åtaganden enligt eidas

SOU 2017:114 Föreslår - lagreglerad plikt för myndigheter att ansluta sig - digitaliseringsmyndigheten får meddela närmare föreskrifter om hur anslutningen ska gå till (s.338 f och 345 f) E-legitimationsnämnden kommer att använda sig av enklare form av överenskommelse i övergångsperioden

Kostar det något? Den obligatoriska e-legitimationstrafiken över gränserna är kostnadsfri Anslutningen till noden är kostnadsfri Ni behöver anpassa era tjänster om ni inte redan följer SAML 2.0

eidas och GDPR Artikel 5 pekar att GDPR ska följas vid behandling av personuppgifter Strikt reglerat vad som får lagras i noden Ni kommer att få personuppgifter med identitetsintygen, regleras i art 11

Personidentifieringsuppgifter (art 11) Obligatorisk minimuppsättning av uppgifter för fysisk person Nuvarande efternamn Nuvarande förnamn Födelsedatum Personidentitetsbeteckning, PID, från eid-landet Frivillig minimuppsättning av uppgifter för fysisk person För- och efternamn vid födseln Födelseort Nuvarande adress Kön Övriga uppgifter (attribut) Bilaterala överenskommelser

Kopplingsregister Kopplar samman den utländska e-legitimationen med ett svenskt personnummer eller samordningsnummer Förslag på att SKV ska göra den centrala kopplingen Ska krävas samma grad av säkerhet som vid utfärdandet av en fysisk identitetshandling

Personuppgiftsbehandling? Ett antal aktörer inblandade i e- legitimeringsprocessen Behöver fundera över er roll Nämnden utreder personuppgiftsflödet i noden, vad som får loggas och var och hur ser det ut med allmän handling

Kommer Sverige anmäla en e-legitimation till eidas? SOU 2017:114 föreslår att digitaliseringsmyndigheten ska få ansvar för anmälningsprocessen Remissberedning Beredas inom regeringskansliet Freja eid+ har lämnat in ansökan om att bli anmälda

E-underskrifter

eid Gränsöverskridande elektronisk identifiering AS Betrodda tjänster för elektroniska transaktioner Rättslig ram för bland annat e-underskrifter

Elektronisk underskrift Uppgifter i elektronisk form som används för att kontrollera att innehållet kommer från den som har undertecknat handlingen. Underskrift - om en fysisk person undertecknar Stämpel - om en juridisk person undertecknar

3 steg för elektronisk underskrift Skapa Validera Bevara

eidas sätter upp en rättslig ram för detta Art 25-34 Gäller sedan 1 juli 2016 Även här finns det genomförandebestämmelser som preciserar

3 nivåer Elektronisk underskrift Avancerad Kvalificerad

En underskrift får inte avvisas enbart för att den är elektronisk (art 25) T.ex. elektroniskt underskrivna blanketter (kan vara i pdfa) I andra länder använder de sig av elektroniska blanketter i betydligt högre utsträckning än här sätta ström på papper

Avancerad elektronisk underskrift (art 26) unikt knuten till en undertecknare undertecknaren kan identifieras genom underskriften underskriften är skapad på ett sådant sätt att undertecknaren har kontroll över den. den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att ändringar av uppgifterna kan upptäckas.

Kvalificerad elektronisk underskrift uppfyller samma krav som för den avancerade underskriften skapas med hjälp av en kvalificerad anordning för underskriftsframställning och är baserad på ett kvalificerat certifikat för elektroniska underskrifter = Betrodda tjänster Kvalificerad elektronisk underskrift ska ha samma rättsliga verkan som en handskriven underskrift

Hur ser det ut i praktiken? De underskriftscertifikat som används i Sverige motsvarar avancerad nivå Ute i Europa ställs oftare krav på kvalificerad underskrift Många svenska företag har vaknat för att man kan hävda att en elektronisk underskrift är lika giltig som en handskriven

Rättspraxis Högsta domstolens beslut den 2 november 2017 i mål Ö 5072-16 Låneavtal kan skrivas under elektroniskt Högsta domstolens dom den 22 december 2017 i mål T 435-17 Bedömningen av om en elektronisk underskrift binder innehavaren består av två delmoment Det var fråga om en avancerad elektronisk underskrift enligt eidas i det här fallet

Skyldighet att erkänna elektroniska underskrifter (art 27) En medlemsstat som kräver en avancerad elektronisk underskrift för användningen av en nättjänst måste erkänna elektroniska underskrifter på samma nivå och på högre nivå

Genomförandebestämmelser anger vilka format för elektroniska underskrifter och stämplar som skall erkännas. Om ursprungslandet tillhandahåller en valideringstjänst ska utöver detta alla möjliga format stödjas, utan begränsning. Validering = kontroll av en elektronisk underskrifts giltighet Valideringstjänsten kan bara åberopas om den är kostnadsfri.

Frågor?