Åtgärder mot att användare vilseleds att logga in någon annan med sin e-legitimation

Relevanta dokument
Stockholm den 22 augusti 2019

RIKTLINJER FÖR ANSVARSFÖRSÄKRING ENLIGT PSD 2 EBA/GL/2017/08 12/09/2017. Riktlinjer

esam juridik Samverkan mellan myndigheter och SKL om digitaliseringen av det offentliga Sverige

Juridisk vägledning för införande av e-legitimering och e-underskrifter

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Kommittédirektiv. Betaltjänster, förmedlingsavgifter och grundläggande betalkonton. Dir. 2015:39. Beslut vid regeringssammanträde den 1 april 2015

E-legitimering och e-underskrift Johan Bålman esam

Behandling av personuppgifter vid Göteborgs universitet

Datainspektionen lämnar följande synpunkter.

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i reglerna om aggressiv marknadsföring

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

esam juridik Offentliga rummen 26 maj 2016 Johan Bålman och Per Furberg

Användarvillkor Mina meddelanden

Svensk författningssamling

Allmänna handlingar i elektronisk form

Kommittédirektiv. Genomförande av visselblåsardirektivet. Dir. 2019:24. Beslut vid regeringssammanträde den 29 maj 2019

Svensk författningssamling

Snabbare lagföring (Ds 2018:9)

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen

PSI. Hur har Public Sector Information direktivet (PSI) påverkat Skatteverkets verksamhet?

SEKRETESSREGLER SOM HINDER MOT OUTSOURCING?

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

Användandet av E-faktura inom den Summariska processen

Skåne läns författningssamling

Sociala medier + juridik = sant. Johan Bålman, E-delegationen

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv

E-delegationen. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Vad behövs.

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Svensk författningssamling

Utdrag ur protokoll vid sammanträde

Skatte- och tullavdelningen. Skyldighet för allmänna domstolar att lämna uppgifter om domar och beslut i brottmål till Skatteverket i vissa fall

Så här behandlar vi dina personuppgifter

Kommittédirektiv. Dir. 2016:46. Beslut vid regeringssammanträde den 9 juni 2016

HÖGSTA DOMSTOLENS BESLUT

Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6)

Introduktion. September 2018

Svensk författningssamling

Kommittédirektiv. Tilläggsdirektiv till E-delegationen (Fi 2009:01) Dir. 2010:32. Beslut vid regeringssammanträde den 25 mars 2010

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Fortnox Finans Integritetspolicy

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Användandet av E-faktura inom verksamheten betalningsföreläggande

EU-förordning om civilrättsliga skyddsåtgärder

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitierådet Bo Svensson, regeringsrådet Nils Dexe och justitierådet Lars Dahllöf.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Så här behandlar vi dina personuppgifter

Svensk författningssamling

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

Utdrag ur protokoll vid sammanträde Förslaget föranleder följande yttrande av Lagrådet:

Allmänna villkor för medgivande till direktåtkomst eller direktanmälan

Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Europeisk skyddsorder

Kommittédirektiv. Genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism. Dir. 2014:155

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Här hittar du din pensionsinformation på minpension

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Oanade möjligheter. Oanade möjligheter är ett initiativ skapat av Sparbankernas Riksförbund och Svenska Bankföreningen

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Fortnox Finans Integritetspolicy

DEN TUDELADE VÄLFÄRDSSTATEN

Bilaga 3 till Cirkulär 09:46 1 (5)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Karin Almgren och Christer Silfverberg samt justitierådet Dag Mattsson

Svensk författningssamling

Policy för användande av IT

Redeyes Integritetspolicy

PERSONUPPGIFTSPOLICY

ÄNDRINGSFÖRSLAG 11-45

Justitiedepartementet

Personuppgiftsbiträdesavtal

Regler Sociala medier. Antaget av kommunfullmäktige 28 maj 2012 att börja gälla 1 juni Reviderad , 29

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Stockholm den 14 september 2017

Utdrag ur protokoll vid sammanträde Godkännande av järnvägsfordon och ansvar för underhåll

Sanktioner för miljöbrott på avfallsområdet. Promemorians huvudsakliga innehåll

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Utdrag ur protokoll vid sammanträde

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

1. Vem ansvarar för mina personuppgifter?

Utdrag ur protokoll vid sammanträde Brottsdatalag - kompletterande lagstiftning

En e-tjänst för att lämna ut uppgift om en fastighets taxeringsvärde

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Utdrag ur protokoll vid sammanträde Lag om försäkringsmedicinska utredningar

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Thomas Bull

FÖRSLAG TILL YTTRANDE

Svensk författningssamling

Kopplingsregister eidas. Förstudie

Kompletterande promemoria avseende. Nya dimensioner och vikter för vissa vägfordon

Publicering på Internet

Transkript:

Johan Bålman Johan.balman@pensionsmyndigheten.se 0722102619 Åtgärder mot att användare vilseleds att logga in någon annan med sin e-legitimation Allt fler rapporter har kommit om att företag erbjuder webbtjänster som uppmanar sina användare att legitimera sig mot myndigheters e-tjänster. Den som släpps in i e-tjänsten är emellertid inte användaren utan företaget som hämtar information. På detta sätt vilseleds användare att logga in någon annan med sin e- legitimation. En myndighet behöver stoppa detta om det sker i myndighetens e- tjänster eftersom det är straffbelagt enligt 15 kap. 12 brottsbalken som missbruk av urkund. Det kan också strida mot dataskyddsförordningen, offentlighets- och sekretesslagen, registerlagar eller författningar på informationssäkerhetsområdet. esams juridiska expertgrupp anser att det nu behövs en samordnad informationsinsats riktad mot i första hand privatpersoner kring detta. Inledning I ett rättsligt uttalande den 24 april 2017 har esam redovisat bestämmelser i brottsbalken där straff föreskrivs för den som åberopar någon annans e- legitimation för att bli insläppt under sken av att vara den som anges i e- legitimationen. I maj 2018 har regler införts i betaltjänstlagen enligt vilka en tjänsteleverantör måste identifiera sig vid varje transaktion. Pensionsmyndigheten har i sina föreskrifter infört regler om att e-legitimation inte får användas i myndighetens tjänster så att den åberopas såsom gällande för någon annan än den e- legitimationen avser. Missbruk med användning av bankers webbtjänster har därefter i praktiken förhindrats. 1 (6)

Allt fler rapporter har emellertid kommit om att företag i sina webbtjänster uppmanar sina användare att legitimera sig gentemot myndigheters tjänster för att företagets tjänst ska kunna hämta information under sken av att det är användaren som själv besöker myndighetens tjänst. Ofta införs detta med hjälp av tjänsteleverantörer som utvecklar och tillhandahåller särskilda tjänster för att genomföra missbruket. För allmänhetens tillit till e-legitimationer är det av avgörande betydelse att de inte missbrukas. Åtgärder måste därför vidtas. Som ett första steg föreslås en samordnad informationsinsats riktad till användare (som indirekt även når företagen och deras tjänsteleverantörer) om att dessa missbruk är kriminaliserade. Samordningen föreslås ske så att myndigheter inför en varningstext med samma ordalydelse, Du får inte släppa in någon annan, på de webbsidor där användare väljer e-legitimation för att logga in. Texten länkar till den nya webbplatsen e-legitimation.se som riktar sig till privatpersoner och den text som finns där om hur man skyddar sin e-legitimation. Utgångpunkter Myndigheter och företag ser missbruk av e-legitimation genom s.k. overlayteknik som ett konkret hot. Dessa förfaranden kan förenklat beskrivas genom en jämförelse med fysisk miljö där någon missbrukar en annan persons legitimationshandling, t.ex. ett körkort eller ett pass, för att bli insläppt någonstans. Sådana förfaranden kan i och för sig användas öppet (jfr när den som hämtar ett paket i egenskap av bud ska visa både sin och mottagarens legitimation användningen av annans e-legitimation sker då inte sanningslöst ). Men i itmiljö används overlayteknik ofta på ett dolt, vilseledande och rent av brottsligt sätt. Det analysarbete som bedrivits av myndigheter har resulterat i bedömningen att förfaranden av det slaget är straffbara enligt 15 kap. 12 BrB som missbruk av urkund. 2 (6)

Vad som nu tillkommit, är att försäkringsförmedlare erbjuder som allmänt spridd tjänst att hämta information från t.ex. www.minpension.se, privata företags webbplatser börjat erbjuda användare inloggning till t.ex. www.skatteverket.se, för att det företag som tillhandahåller tjänsten ska hämta information för att verifiera användarens personuppgifter (samtidigt blir all information om användaren och alla tjänster på skatteverket.se tillgängliga för företaget), från maj detta år gäller nya regler i betaltjänstlagen enligt vilka berörda tjänsteleverantörer måste identifiera sig vid varje transaktion, jfr att en mellanman i traditionell fysisk miljö vanligtvis ska presentera fullmakt eller andra behörighetshandlingar, allt ska enligt betaltjänstlagen ske öppet 1, och Pensionsmyndigheten i sina föreskrifter (PFS 2018:1) om ändring i Pensionsmyndighetens föreskrifter (2012:9) om självbetjäningstjänster via internet har infört en bestämmelse om att en e-legitimation inte får användas i Pensionsmyndighetens självbetjäningstjänster via internet så att den åberopas såsom gällande för någon annan än den som e- legitimationen avser (3 a ). Det finns alltså både nya tjänster som bygger på missbruk och nya regler för att skydda mot missbruk. 1 I regeringens proposition 2017/18:77 Nya regler om betaltjänster (som genomför Europaparlamentets och rådets direktiv 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, PSD2) föreskrivs i 5 kap. lagen (2010:751) om betaltjänster att leverantören av en (a) betalningsinitieringstjänst ska identifiera sig gentemot betaltjänstanvändarens kontoförvaltande betaltjänstleverantör varje gång en betalning initieras (10 ) och att leverantören av (b) en kontoinformationstjänst ska för varje kommunikationssession identifiera sig gentemot den kontoförvaltande betaltjänstleverantören (17 ). Bestämmelserna motsvaras av tydliga krav i EU-direktivet. I författningskommentaren till den nämnda lagändringen uttalas bl.a. följande (a.prop. s. 356): Detta innebär, till skillnad från vad som ofta är fallet i dag, att den kontoförvaltande betaltjänstleverantören ska få kännedom om att initiering görs via en leverantör av sådana tjänster. 3 (6)

esams juridiska bedömning Redan i ett rättsligt uttalande den 24 april 2017 har esam redovisat de regler i brottsbalken där straffansvar föreskrivs för den som åberopar någon annans e-legitimation och släpps in under sken av att vara den som anges i e-legitimationen. Börjar dessa missbruk bre ut sig kan det emellertid också ifrågasättas om myndigheter ska anses röja sekretessbelagda uppgifter. Anses ett otillåtet röjande ske av sekretessbelagda uppgifter när myndigheten vet att beskrivna missbruk förekommer av myndighetens e-tjänster och tjänsterna inte stängs? Om ett utlämnande grundas på samtycke måste myndigheten rimligen pröva att ett giltigt samtycke föreligger. En sådan prövning kan knappast ske när myndigheten inte vet att den lämnar ut uppgifter till en tjänsteleverantör (med eller utan fullmakt) i stället för till den registrerade. Expertgruppens rättsliga uttalande den 17 december 2015 om röjandebegreppet enligt offentlighets- och sekretesslagen kan knappast heller åberopas eftersom utlämnande myndighet inte har underlag för att bedöma om det är osannolikt att ett röjande kommer att ske. Den utlämnande myndigheten vet inte om att den förmås att lämna uppgifter till en annan tjänst än den myndigheten tillhandahåller åt e-legitimationsinnehavaren. Lämnar en myndighet ut uppgifter genom behandlingar som omfattas av regler i en registerlag har myndigheten inte heller kunnat ta ställning till om ett utlämnande på medium eller genom direktåtkomst till någon annan än den som legitimerat sig är förenligt med berörd registerförfattning och om en sådan författning i övrigt kan förenas med utlämnande till någon annan än den registrerade själv. Exempelvis kan de ändamål för vilka personuppgifterna får behandlas enligt dataskyddsförordningen eller en registerlag visa sig oförenliga med de ändamål för vilka de ska behandlas när en robot hämtat dem till en privat tjänsteleverantör. Till detta kommer säkerhetskrav enligt olika författningar. Någon analys och bedömning av hot- och risker har knappast kunnat göras, enligt dataskyddsförordningen, en registerlag, offentlighets- och sekretesslagen eller MSB:s föreskrifter eftersom mottagarmiljön är okänd. Berörda myndigheter behöver också överväga om en hantering av detta slag kan förenas med förvaltningslagens krav på legalitet. 4 (6)

För vissa uppgifter som är särskilt attraktiva, nämligen pensionsinformation, kräver berörda tjänster dessutom ett insamlande och tillgängliggörande som grundas på att individen ingår avtal med Min Pension Aktiebolag och samtycker till viss hantering. Om användaren lockas att legitimera sig på en annan webbplats än www.minpension.se, för att den webbplatsens robot ska bereda sig tillträde till www.minpension.se och där klicka i erforderliga rutor för att komma åt informationen om användaren, har Min Pension Aktiebolag inte fått någon accept eller något samtycke från användaren. Användaren varken ser eller tar ställning till avtal och krav på samtycken när det är tjänsteleverantörens robot som besöker webbtjänsten och klickar etc. för att komma åt information där. Det finns alltså inte bara straffrättsliga hinder mot den overlayteknik som börjat sprida sig. Flera andra regelverk berörs och står i vägen för denna dolda hantering. Åtgärder På lång sikt behöver gärningsmännen lagföras och ett stärkt skydd införas, t.ex. genom högre krav på de system som används för identitetskontroll i anknytning till e-tjänster. Gemensam informationsinsats Det finns emellertid ett akut behov av att informera de som legitimerar sig (i syfte att ge annan tillträde) och de företag som ansvarar för webbtjänster (där en robot ger sig ut för att vara användaren) så att det inte kan råda någon tvekan för dem om att sådana förfaranden är förbjudna. För att alla myndigheter ska lämna information och kunna göra det med en enkel arbetsinsats, utan kostsam förvaltning över tid, rekommenderar esam att myndigheter för in en kort text på platsen för inloggning, som bör utformas lika på alla webbplatser (jfr det genomslag uttrycket Jag legitimerar mig fått). En länk föreslås därför med texten Du får inte släppa in någon annan. Länken bör placeras i anknytning till användarens aktivering av en inloggning i enlighet med följande exempel: 5 (6)

Länken bör peka på den nya webbplatsen e-legitimations.se, som riktar sig till privatpersoner, och den text som finns där om hur man skyddar sin e- legitimation (Start / Skydda din e-legitimation / Låt inte andra personer eller webbplatser använda ditt e-leg): https://e-legitimation.se/4.14dfc9b0163796ee3e73ee.html Webbplatsen drivs av E-legitimationsnämnden och efter den 1 september av Myndigheten för digital förvaltning, DIGG. Med en sådan utformning kan uppdateringar utarbetas av en aktör, i samråd med övriga, utan att varje aktör själv måste utforma en sådan text. 6 (6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss