Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Relevanta dokument
Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Svar på remiss av betänkande, Planering och beslut för hållbar utveckling - Miljöbalkens hushållningsbestämmelser(sou 2015:99)

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Med utgångspunkt i myndighetens verksamhetsområde har PTS följande synpunkter på förslaget.

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Tillsyn efter inträffad integritetsincident i fakturasystem

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Saken. PTS underrättelse

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över dokumentation av informationsbehandlingstillgångar

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tillsyn över säkerhetsarbete hos underleverantör

Tillsyn över behandling av uppgifter

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

eidas införande i Sverige Björn Scharin, PTS

Innehåll Dnr: (5)

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Beslut om förbud enligt 12 radioutrustningslagen

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

^Synskadades. Yttrande över "Reboot - omstart för den digitala förvaltningen" SOU 2017:114 FI2018/00106/DF

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

2

Datum Vår referens Sida Dnr: (5) Remissvar avseende vallagskommitténs slutbetänkande Eröstning och andra valfrågor (SOU 2013:24)

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

TRN Stockholms läns landsting. Avdelningen för samhällsfrågor Emma Hagman Rang

Informationssäkerhet för samhällsviktiga och digitala tjänster

Tillsyn över dokumentation av tillgångar och förbindelser

Förslag till beslut om ändring av telefoninummerplanen

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Föreläggande att inkomma med uppgifter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

E-legitimering och e-underskrift Johan Bålman esam

Svar på remiss av strategi för Myndigheten för press, radio och tv:s tillståndsgivning för analog kommersiell radio

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Överlämnande av nummer vid byte av tjänsteleverantör

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Snabbare lagföring (Ds 2018:9)

Saken. Post- och telestyrelsens avgörande BESLUT 1(5) Datum Vår referens Aktbilaga Dnr: Post- och telestyrelsen

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige

Beslut om förbud enligt 12 radioutrustningslagen

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

E-legitimationsdagen dag 2. Elektroniska underskrifter och dokument - hur lever vi upp till eidas lagkrav i vår vardag?

Thomas Edling (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

FÖRSLAG TILL YTTRANDE

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Remissvar Ett statligt identitetskort och en statlig e-legitimation (SOU 2019:14)

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Avbrott i bredbandstelefonitjänst

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Exponerade fakturor på internet

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Beslut om ändring av telefoninummerplanen

Remiss: Promemoria om nya bestämmelser om Tullverkets säkerställande av skyddet för immateriella rättigheter

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

PTS synpunkter på remissen av digitalforvaltning.nu (SOU 2017:23) Delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Betänkandet SOU 2014:89 Elsäkerhet en ledningsfråga. Del 1: Sammanfattning och övergripande synpunkter

Sammanställning av remissvar på PTS uppdaterade förstudierapport 700 MHz

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning


Introduktion till eidas. Dnr: /

Kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Post- och telestyrelsen (PTS) är förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kommunikation.

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Parkeringsutredningen (SOU 2006:109) Ett enhetligt sanktionssystem för felparkering (N2006/10904/TP)

Datum Vägledning. För betrodda tjänster i Sverige enligt eidas Utgåva 1

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

REMISSYTTRANDE. Datum Ert datum

TJÄNSTESKRIVELSE Datum: Kommunstyrelsen D.nr:15/

Yttrande över betänkandet "Svenska för invandrare

Ändring av telefoninummerplanen

PTS informationsmöte om eidas och betrodda tjänster

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn över Polisen (SOU 2013:42)

Riktlinjer för ansökan om medfinansiering från PTS

Tredje samråd angående marknaden för mobil samtalsterminering (marknad 2)

Stockholm den 22 augusti 2019

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Svensk författningssamling

Beslut om avskrivning

Betänkandet SOU 2019:14 Ett säkert statligt ID-kort med e-legitimation

Kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning

Viktiga steg för gränsöverskridande e-legitimation

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Transkript:

Datum Vår referens 2019-08-30 19-5170/9.60 1(6) Ert datum Er referens 2019-07-24 Ju2019/01281/L4 Ju.remissvar@regeringskansliet.se Ju.L4@regeringskansliet.se Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4) Post- och telestyrelsen (PTS) har fått möjlighet att yttra sig över betänkandet Ett säkert statligt ID-kort med e-legitimation (SOU 2019:14). Med utgångspunkt i PTS uppdrag som tillsynsmyndighet enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eidas-förordningen) samt myndighetens uppdrag på området digital delaktighet och tillgänglighet, lämnar PTS följande synpunkter. Sammanfattningsvis ser PTS positivt på förslaget att inför en statlig e-legitimation som ger möjlighet att skapa elektroniska underskrifter. PTS kan konstatera att en e-legitimation med den högsta tillitsnivån idag saknas i Sverige och att införandet av en sådan kan ge förutsättningar för en utveckling av de betrodda tjänster som tillhandahålls med stöd av eidas-förordningen. Avancerade eller kvalificerade underskrifter? Utredningen föreslår i kapitel 12.9 att den statliga e-legitimationen ska kunna användas för att skapa en avancerad elektronisk underskrift. PTS vill inledningsvis påpeka att tekniskt sett så är e-legitimationen bärare för två olika tjänster, en elektronisk tjänst för identifiering och ett certifikat för framställning av en elektronisk underskrift. Dessa tjänster regleras på olika sätt men kan använda samma grundidentifiering av den fysiska person de är utfärdade till. Funktionen att legitimera sig och skriva under ett dokument elektroniskt, är därför två skilda handlingar. PTS har i detta sammanhang endast tillsyn över den del som omfattar utfärdande av certifikat och skapande av elektroniska underskrifter från ett sådant utfärdat certifikat. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) I eidas-förordningen görs en uppdelning mellan avancerade elektroniska underskrifter och kvalificerade elektroniska underskrifter. Förordningen ställer högre krav på de kvalificerade underskrifterna och tillhandahållarna av sådana än på de avancerade. Utredningen föreslår att de elektroniska underskrifterna som ska kunna skapas med utgångspunkt i det statliga id-kortet ska vara avancerade, vilket således är den lägre tillitsnivån enligt eidas-förordningen. Skälet till detta är enligt utredningen att Sverige inte har några författningsreglerade krav på användning av kvalificerade elektroniska underskrifter. Krav på användning av kvalificerade elektroniska underskrifter är dock vanligt förekommande inom andra medlemsstater i EU. Till exempel ställs ofta krav på kvalificerade elektroniska underskrifter vid upphandlingsförfaranden eller vid inkommande av uppgifter till myndigheter i andra EU-länder. PTS bedömer att det inom några år kommer att bli vanligare med användning av kvalificerade elektroniska underskrifter i även i Sverige. PTS kan konstatera att det redan nu finns ett ökande intresse för kvalificerade underskrifter både från myndigheter och från näringslivet i Sverige eftersom dessa enligt artikel 25 i eidas-förordningen inom hela EU har likvärdig rättslig verkan som en fysisk underskrift. Det är därför sannolikt enligt PTS att även enskilda kommer att behöva kunna signera elektroniskt med en kvalificerad elektronisk underskrift i framtiden. Detta talar, enligt PTS uppfattning, för att det statliga ID-kortet bör ge möjlighet till kvalificerade elektroniska underskrifter. Då en kvalificerad elektronisk underskrift uppfyller samtliga krav för en avancerad elektronisk underskrift skulle en sådan förändring inte ha någon negativ inverkan på förlitande part eller för andra användare av underskriften. Vidare ger kvalificerade elektroniska underskrifter en ökad säkerhet i jämförelse med avancerade elektroniska underskrifter. I artikel 24 i eidas-förordningen ställs krav på säkerheten hos produkter och system som används vid tillhandahållandet av tjänsten samt att utfärdaren av tjänsten har ett presumtivt ansvar för skada enligt artikel 13. Motsvarande säkerhetskrav finns inte på samma sätt för avancerade elektroniska underskrifter. Tilltron till en kvalificerad elektronisk underskrift är därför högre än tilltron till en avancerad sådan. Utredningen föreslår att Polismyndigheten ska få i uppdrag att utreda vidare om den i någon omfattning ska tillhandahålla möjligheten till kvalificerade elektroniska underskrifter. Som ett kostnadseffektivt förslag föreslås att certifikat för kvalificerade elektroniska underskrifter skulle erbjudas bara till de som har behov av en sådan. PTS välkomnar att frågan utreds ytterligare men ställer sig frågande till om det är kostnadseffektivt och ändamålsenligt att erbjuda två olika former av elektroniska underskrifter istället för att erbjuda en Post- och telestyrelsen 2

3(6) form med den högsta tillitsnivån för alla. Detta skulle bl.a. kunna leda till svårigheter i att bedöma vilka personer som ska anses ha behov av den kvalificerade formen av elektroniska underskrifter, vilket kommer att kräva en del administration. PTS bedömer även att den merkostnad som förknippas med att erbjuda möjlighet för kvalificerade avancerade underskrifter inte drivs primärt av antalet utfärdade certifikat, utan att denna merkostnad främst kommer att uppstå som en direkt följd av att de mer omfattande säkerhetskraven inträder för utfärdandet av kvalificerade certifikat. Om Polismyndigheten ska kunna utfärda certifikat som möjliggör kvalificerade elektroniska underskrifter, oavsett i vilken omfattning detta skulle ske, så behöver myndigheten bli en kvalificerad tillhandahållare av en betrodd tjänst enligt artikel 3.16 i eidas-förordningen. Förfarandet innebär att polismyndigheten behöver genomgå en granskning av ett anmält organ för bedömning av överensstämmelse mot eidas-förordningen och tillämpliga standarder, genomgå löpande revisioner samt leva upp till de krav som ställs på kvalificerade tillhandahållare enligt eidas-förordningen. Merkostnaden som dessa säkerhetskrav medför är oberoende av antalet kvalificerade certifikat för skapande av kvalificerade elektroniska underskrifter som Polismyndigheten utfärdar. En förhållandevis mindre merkostnad följer sedan av antalet utfärdade kvalificerade certifikat, och är då främst kopplad till kostnaden för den fysiska bäraren (ID-kortet) som måste uppfylla kraven i bilaga 2 till eidas-förordningen. PTS kan vidare konstatera att redan möjligheten för Polismyndigheten att skapa avancerade underskrifter (den lägre tillitsnivån) som utredningen föreslår, innebär att Polismyndigheten skulle bli en tillhandahållare av en betrodd tjänst enligt artikel 3 punkt 19 i eidas-förordningen. Detta innebär att Polismyndigheten istället kommer att omfattas av de krav som förordningen ställer på (icke-kvalificerade) tillhandahållare av betrodda tjänster. Utredningen har redogjort för att tillhandahållare av kvalificerade elektroniska underskrifter står under PTS tillsyn. PTS vill dock framhålla att enligt artikel 17 3 b i eidas-förordningen, så står även icke-kvalificerade tillhandahållare under myndighetens tillsyn, om än i mer begränsad omfattning än vad som gäller för kvalificerade tillhandahållare. Vidare ska samtliga tillhandahållare av betrodda tjänster, dvs. oavsett om tjänsten som tillhandahålls är kvalificerad eller inte, rapportera incidenter till tillsynsmyndigheten, se artikel 19 i förordningen. Post- och telestyrelsen 3

4(6) PTS ser att utredningens förlag skulle innebära att Polismyndigheten oavsett om den tillhandahåller avancerade eller kvalificerade elektroniska underskrifter för det statliga id-kortet, kommer att stå under PTS tillsyn. Det finns dock skillnader i PTS tillsyn av utfärdare av avancerade respektive kvalificerade certifikat. Granskningen av kvalificerade betrodda tjänster är avsevärt mer omfattande. Inledningsvis ska tillhandahållaren enligt artikel 21 i eidas-förordningen genomgå en granskning hos ett organ för bedömning av överensstämmelse. Rapporten från denna granskning ska lämnas in till tillsynsorganet (PTS) som sedan ska besluta om tillhandahållaren och tjänsten lever upp till förordningens krav på en kvalificerad tillhandahållare och en kvalificerad betrodd tjänst. Därutöver ska tillhandahållaren vartannat år på nytt genomgå en granskning för att bekräfta att kraven enligt eidas-förordningen är uppfyllda. Enligt artikel 20.2-3 i eidas-förordningen kan tillsynsmyndigheten när som helst granska en kvalificerad tillhandahållare och kan även efter en sådan granskning, om tillhandahållaren inte uppfyller kraven, återkalla tillhandahållarens eller den betrodda tjänstens kvalificerade status. PTS anser att den tillsyn som ska ske av kvalificerade tillhandahållare och kvalificerade betrodda tjänster, borgar för att de betrodda tjänsterna håller en hög kvalitet. PTS anser att de elektroniska underskrifterna som utredningen förslår att Polismyndigheten ska tillhandahålla id-korten med, bör stå under en granskning och tillsyn som är mer omfattande än den tillsyn som gäller för tillhandahållare av avancerade betrodda tjänster. Skälet till detta är att underskrifterna från dessa id-kort sannolikt kommer att användas i hög omfattning och av många personer. En säkerhetsbrist avseende de elektroniska underskrifterna till ett sådant id-kort skulle därför kunna få väldigt stora konsekvenser. Som framförs i Reboot utredningen (SOU2017:114) på sidan 387 så är kraven på certifikat som inte är kvalificerade otydliga vilket skulle underlättas av en fastslagen nationell säkerhetsnivå. Sammanfattningsvis anser PTS att mycket talar för att samtliga de certifikat för underskrifter som utredningen föreslår ska kopplas till e-legitimationen på de statliga ID-korten bör vara kvalificerade. Om utredningen skulle stanna vid att Polismyndigheten på e-legitimationen endast ska tillhandahålla certifikat för elektroniska underskrifter på avancerad nivå, anser PTS att det i så fall finns skäl att undersöka behovet av särskilda säkerhetskrav på nationell nivå som går utanför eidas-förordningens krav för icke-kvalificerade certifikat. Post- och telestyrelsen 4

5(6) Möjlighet till tidsbegränsad återkallelse PTS ser positivt på att utredningen i kapitel 12.15 föreslår möjligheten för Polismyndigheten att återkalla en eller flera e-legitimationer, och därmed också möjligheten till elektronisk underskrift, tillfälligt under en begränsad tid. PTS ser detta som ändamålsenligt eftersom en tillfällig återkallelse ger tid för vidare utredning och möjliga åtgärder, vilket kan begränsa behovet av eventuella slutgiltiga återkallelser av e-legitimationer vilket kan ta stora resurser i anspråk. Vidare är det PTS förhoppning att möjligheten till en tidsbegränsad återkallelse innebär att ett beslut om en tillfällig återkallelse kan ske snabbare än ett beslut om slutlig återkallelse. Erfarenheter från andra EU-länder har visat att det är viktigt för de myndigheter som utfärdar elektroniska id-kort med elektroniska underskrifter, att kunna agera snabbt om det skulle visa sig att korten innehåller sårbarheter eller fel, för att kunna begränsa eventuella skador. Tillgänglighet för personer med funktionsnedsättning Som konstaterats ovan är den som tillhandahåller möjligheten till en elektronisk underskrift en tillhandahållare av en betrodd tjänst enligt eidas-förordningen. Av artikel 15 i eidas-förordningen framgår att när det är genomförbart så ska betrodda tjänster och de slutanvändarprodukter som används i samband med tillhandahållande av en sådan tjänst, göras tillgängliga för personer med funktionsnedsättning. PTS vill framhålla att tillgänglighet till e-legitimationer, och därmed möjligheten till elektroniska underskrifter, beror på hur lösningarna och gränssnitten mot användarna utformas. Utredningen föreslår att e-legitimationen, och möjligheten till elektroniska underskrifter, ska skapas på ett kort. Vid användning ska kortet hanteras, antingen med hjälp av en kortläsare, eller med hjälp av ett system. PTS vill poängtera vikten av att hela lösningen med eventuella beroenden utformas på sådant sätt att den inte utesluter någon användare. Då den statliga e-legitimationen är tänkt att endast vara kopplad till en fysisk handling är det också viktigt att det på enkelt sätt går att växla denna mot andra e-legitimationer, till exempel mobila e-legitimationer. Detta måste vara möjligt för alla användare. Det måste också säkerställas att det finns mobila alternativ som är utvecklade universellt med alla användare i åtanke. Är detta inte möjligt måste andra alternativ som uppfyller kraven tas fram inom ramen för den statliga elektroniska identitetshandlingen. Utifrån PTS arbete med tillgänglighet har det kunnat konstateras att målgrupperna som är beroende av tillgänglighet i digitala lösningar inte bara omfattar personer med olika funktionsnedsättningar, utan även personer som Post- och telestyrelsen 5

6(6) har svårt att använda digitala lösningar beroende på låg it-vana eller socioekonomiska förutsättningar. Tillgängligheten till tjänsten kan också påverkas av om användaren har tillgång till stöd av olika slag för att hantera internetbaserade lösningar och därtill kopplad teknik. PTS ställer sig bakom utredningens bedömning i kapitel 12.3 att en fördjupad analys av de frågor som berör användbarhetsaspekten behöver göras avseende id-korten. PTS rekommenderar att den analysen tar hänsyn till de olika standarder och riktlinjer som finns på området. På webbriktlinjer.se finns det bl.a. riktlinjer för hur applikationer kan utformas på ett tillgängligt sätt. Därutöver behöver utvecklare så tidigt som möjligt få sina idéer testade av användare med olika behov. Fortsatt samråd Utredningen har både vad avser möjligheten till kvalificerade elektroniska underskrifter och användarbarheten för e-legitimationen, föreslagit ytterligare utredning. PTS vill framhålla att myndigheten är tillgänglig för fortsatt dialog och samråd i dessa frågor. Yttrandet har beslutats av divisionschefen Catarina Wretman. I ärendets slutliga handläggning har även juristen Caroline Sundholm samt handläggaren Björn Hesthamar (föredragande) deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss