Svensk e-legitimation Hearing om regelverksremiss 2012-09-13 Erik Sandström Biträdande jurist T: +46 8 598 891 43 M: +46 703 791 981 E: erik.sandstrom@setterwalls.se 1
Leverantören ansvarar för hela leveranskedjan, dvs. för såväl identitetsintyget som bakomliggande e-legitimationstjänster. Arkitektur och affärsavtal Offentliga federation -specifika delar Privat federation -specifika delar Leverantör av eid-tjänst Leverantör av eid-tjänst Avtal om leverans av eid-tjänster Avtal om leverans av eid-tjänster Tillhandahållare e-tjänsteleverantör av e-tjänster Nämnden i rollen som Part Avtal Tillhandahållare e-tjänsteleverantör av e-tjänster Affärspart Avtal Utfärdare av e-legitimation Utfärdare av e-legitimation Utfärdare av e-legitimation Avtal om anslutning till basstrukturen Tillitsramverk Regelverk Regler Tekniskt ramverk Nämnden i rollen som ansvarig för Basstrukturen Funktioner Godkännande Test Uppföljning Basstruktur för offentlig och privat sektor
AGENDA Fokus på vissa utvalda frågor Partsrelationer och roller Avtalens ingående Tjänstekoncessioner Parternas ansvar Påföljder och andra sanktioner Regeldokumentens spridning och utveckling
PARTSRELATIONER OCH ROLLER Lösningen kräver sofistikerade partförhållanden En identitetsfederation består av: Tillhandahållare av e-tjänst En federationsoperatör I offentliga federationen: nämnden Leverantörer av eid-tjänst Därtill kommer basstrukturen med: E-legitimationsnämnden Utfärdare av e-legitimation
PARTSRELATIONER OCH ROLLER men utgångspunkten är leveransavtal mellan leverantörer och beställare Avtal om tillhandahållande av eid-tjänster MYNDIGHET TILLHANDAHÅLLARE MYNDIGHET AV E-TJÄNST LEVERANTÖR LEVERANTÖR AV EID-TJÄNST
AVTALENS INGÅENDE Effektivitet och samordning tillgodoses genom en fullmaktslösning Anslutningsavtal för Leverantör av eid-tjänst (avtal om tillhandahållande av eid-tjänster): Federationsoperatören tecknar för tillhandahållare av e-tjänsts räkning (med stöd av fullmakt) ett avtal med varje leverantör. I varje sådant avtal är en (1) leverantör och samtliga tillhandahållare av e-tjänst parter. För att reglera federationsoperatörens samordningsfunktion är dock även operatören part i avtalet. Avtalet innebär också att leverantören lämnar fullmakt till federationsoperatören att ansluta tillkommande tillhandahållare av e-tjänst som parter i avtalet. MYNDIGHET TILLHANDAHÅLLARE MYNDIGHET AV E-TJÄNST LEVERANTÖR LEVERANTÖR AV EID-TJÄNST E-LEGITIMATIONSNÄMNDEN Anslutningsavtal för Leverantör av eid-tjänst (fullmakt): Varje myndighet lämnar fullmakt åt nämnden att teckna avtal med befintliga och tillkommande leverantörer för myndighetens räkning.
TJÄNSTEKONCESSIONER Upphandlingsreglerna bestämmer delar av strukturen Leverantör bestäms av användarna LOU inte tillämplig mångfald möjlig Tilldelning av tjänstekoncessioner Avtalstecknande
Leverantören ansvarar för hela leveranskedjan, dvs. för såväl identitetsintyget som bakomliggande e-legitimationstjänster. Arkitektur och affärsavtal Offentliga federation -specifika delar Privat federation -specifika delar Leverantör av eid-tjänst Leverantör av eid-tjänst Avtal om leverans av eid-tjänster Avtal om leverans av eid-tjänster Tillhandahållare e-tjänsteleverantör av e-tjänster Nämnden i rollen som Part Avtal Tillhandahållare e-tjänsteleverantör av e-tjänster Affärspart Avtal Utfärdare av e-legitimation Utfärdare av e-legitimation Utfärdare av e-legitimation Avtal om anslutning till basstrukturen Tillitsramverk Regelverk Regler Tekniskt ramverk Nämnden i rollen som ansvarig för Basstrukturen Funktioner Godkännande Test Uppföljning Basstruktur för offentlig och privat sektor
PARTERNAS ANSVAR Enkel och marknadsmässig reglering har eftersträvats Förutsägbarhet utan att förtroende äventyras Servicenivåer (SLA) Sedvanliga ansvarsbegränsningar Metodansvar inte resultatansvar
LEVERANTÖRERNAS ANSVAR Vilket ansvar har leverantörerna? Regelverket, punkt 6.4 (allmänt krav på fackmannamässighet) Leverantör av eid-tjänst ska utföra sina uppgifter på ett fackmannamässigt sätt och i enlighet med bestämmelserna i detta Regelverk och gällande författningar, myndighetsbeslut och inom relevant område förekommande god sed. Regelverket, punkt 6.5.1 (servicenivåer) För tillhandahållandet av Identitetsintyg gäller de servicenivåer som anges i Bilaga C. Såvida inte uppsåt eller grov oaktsamhet föreligger ansvarar Leverantör av eid-tjänst för avvikelser från servicenivåerna endast enligt vad som anges i Bilaga C. Regelverket, punkt 6.5.2 (andra fel i intygen) Föreligger fel i levererat Identitetsintyg som inte omfattas av 6.5.1 men som Leverantör av eid-tjänst svarar för, har leverantören inte rätt till ersättning för Identitetsintyget. Om felet orsakats av att leverantörens brott mot [Tillitsramverket] eller annan vårdslöshet som leverantören svarar för, är leverantören skadeståndsansvarig med de begränsningar som följer av punkt 12. Om ett Identitetsintyg har utfärdats enligt de regler och metoder som anges i Tillitsramverket för den aktuella Tillitsnivån svarar Leverantören av eid-tjänst emellertid inte för en eventuell oriktig identifiering eller annan brist i resultat av identifiering. Regelverket, punkt 6.5.3 (övriga fel)
LEVERANTÖRERNAS ANSVAR Vilka påföljder och sanktioner finns? Kontroll Vite (SLA) Tillgänglighet Responstid Skadestånd T.ex. om inte följder tillitsramverket Men inte endast pga. felaktig identifiering Tillfällig avstängning Om förtroendet för federationen skadas Hävning
LEVERANTÖRERNAS ANSVAR Ansvaret är dock begränsat Regelverket, punkt 12.1: I andra fall än sådana avvikelser från servicenivåer som avses i punkt 5.4.1 och 6.5.1 är Parts ansvar begränsat till direkt skada som Parten vållar annan Part genom vårdslöshet. Regelverket, punkt 12.2: Såvida inte uppsåt eller grov oaktsamhet föreligger är Parts ersättningsskyldighet per skadetillfälle begränsad till ett belopp som motsvarar [ ] prisbasbelopp enligt socialförsäkringsbalken (2010:110) och per kalenderår till ett sammanlagt belopp som motsvarar [ ] prisbasbelopp. Regelverket, punkt 12.3: Såvida inte uppsåt eller grov oaktsamhet föreligger får avtalsbrott inte åberopas om det inte påtalas inom skälig tid, och senast inom ett år, från att det upptäcktes eller borde ha upptäckts.
FEDERATIONSOPERATÖRENS ANSVAR Vilket ansvar har federationsoperatören? Motsvarar leverantörernas ansvar Fackmannamässighet Servicenivåer vite Tillgänglighet Responstid Skadestånd vid vårdslöshet Hävning
TILLHANDAHÅLLARNAS ANSVAR Vilket ansvar har då tillhandahållarna av e-tjänst? Ska beställa på korrekt sätt Får använda ett identitetsintyg endast för att hantera frågor om identitet i anslutning till tillhandahållarens e- tjänst samt för därmed förenade förhållanden Behövs fler krav?
BASSTRUKTUREN Vilken roll har utfärdarna i basstrukturen? Licensavtal rätt att använda kännetecken Ansvar Ska följa regelverket Påföljder/sanktioner Tillfällig avstängning Hävning (Skadestånd)
REGELDOKUMENTENS SPRIDNING OCH UTVECKLING Hur hanteras förändrade förhållanden och samordning mellan federationer? E-legitimationsnämnden får besluta om vissa ändringar, men: Innan E-legitimationsnämnden beslutar om en ändring av eller ett tillägg till reglerna för Svensk e- legitimation eller om en annan viktigare förändring av infrastrukturen för Svensk e-legitimation, ska nämnden på eget initiativ samråda med berörda parter Får effekt först efter viss tid Nämnden får endast ändra i tekniskt ramverk, tillitsramverk m.m., inte ansvarsbegränsningar och andra centrala villkor En privat federation kan ha federationsspecifik reglering
Svensk e-legitimation Hearing om regelverksremiss 2012-09-13 Erik Sandström Biträdande jurist T: +46 8 598 891 43 M: +46 703 791 981 E: erik.sandstrom@setterwalls.se 17