PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige



Relevanta dokument
Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Saken. PTS underrättelse

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Återkallelse av såld utrustning samt ersättning för kostnader för provning av radioutrustning m.m.

Svensk författningssamling

Beslut om ändring av telefoninummerplanen

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Regeringskansliet Faktapromemoria 2007/08:FPM Nytt EG-direktiv mot diskriminering. Dokumentbeteckning. Sammanfattning

Användningen av elektronisk identifiering.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Säkerhetsbrister i kundplacerad utrustning

Nordisk Mobiltelefon AS Postboks 1513 Vika 0117 Oslo Norge

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59)

E-tjänst över näringsidkare

Posten AB, org. nr: Stockholm

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Återrapportering av genomförda aktiviteter enligt handlingsplan för ett säkrare Internet i Sverige

Remiss EU-kommissions förslag till produktsäkerhetspaket i form av förordning om allmän produktsäkerhet samt förordning om marknadskontroll

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

CHECKLISTA. För dig som vill göra information och kommunikation tillgänglig

Nummerserie Lediga Vilande Återlämnade 070 (1994/2007)

Samråd enligt 2 och 3 patientdataförordningen

Enkät för utvärdering av tillsynskampanj säkerhetsdatablad 2007

ANGÅENDE REMISSEN OM INFÖRANDE AV GEMENSAM LÖSNING FÖR INLOGGNING TILL STADENS E-TJÄNSTER

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Datum Vår referens Sida Dnr: /72 1(8) 1 Kravspecifikation för upphandling av växtskötsel och fruktleverans

E-legitimationsnämnden Nils Fjelkegård SOLNA. Stockholm

Uppföljning av ungdomstrainee 2013

ATTITYDER TILL FÖRSKOLAN ÅR 2012 föräldrars uppfattning av kvalitet i förskolan

Yttrande över Bättre regler för elektronisk kommunikation (DS2010:19)

Strömbackaskolan läsåret Handlingsplan mot droger

Föreläggande enligt 60 första stycket telelagen (1993:597)

Yttrande över betänkandet Forensiska institutet Ny myndighet för kriminalteknik, rättsmedicin och rättspsykiatri (SOU 2006:63)

Yttrande över betänkandet Slag i luften En utredning om myndigheter, mansvåld och makt (SOU 2004:121)

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Tillsynsrapport Nätinfrastruktur- och Bitströmstillträde 2013

Överlåtelse av tillstånd att använda radiosändare enlig lagen (2003:389) om elektronisk kommunikation; fråga om medgivande.

Ansökan om enskilda insatser LSS

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Eftersom jag är gravt hörselskadad och inte har stor möjlighet att använda telefon på ett betryggande sätt är it ett fantastiskt hjälpmedel.

146/ Stockholm Ju 2010/326/L3146/2010. Remissvar. Kommissionens förslag till förordning för EU-patentets översättningsarrangemang

Kompletterande yttrande över PM Billigare utbyggnad av bredbandsnät, ert dnr N2015/2228/ITP

Tillsyn över behandling av uppgifter och inhämtade av samtycke

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS Maria Aust Marknadsavdelningen/KK

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering

Testa ditt SITHS-kort

Underlagsdokument till jävsregler

Famnas faktablad om EU 4. Finansiering av tjänster av allmänt intresse

Regeringskansliet Faktapromemoria 2015/16:FPM37. Direktiv om försäljning av varor på nätet eller annars på distans. Dokumentbeteckning.

Anmälan till Swedbanks kontoregister via e-legitimation

Konsumentklagomål på telefoni och bredband. Kvartalsrapport januari - mars 2016

Datum Vår referens Sida Dnr: (5) Remissvar avseende vallagskommitténs slutbetänkande Eröstning och andra valfrågor (SOU 2013:24)

Borderlight AB, org. nr , Vretgränd 18, Uppsala

Försöksnomineringssystem 2013

Elektroniskt informationsutbyte mellan arbetsgivare och Försäkringskassan. Information om filöverföring

Departementspromemorian Godkännande av motorfordon m.m., Ds 2008:8

Månadsbrev augusti 2015

Föreläggande att inkomma med uppgifter

It-politik Fakta i korthet

REMISSYTTRANDE 1(7) AdmD Justitiedepartementet Stockholm

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Vården på webben Bidrag till God Vård

Postutdelning i Lidsjöbergsområdet, Strömsunds kommun

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Bo Martinsson hälsade alla välkomna och alla närvarande presenterade sig kort.

Att: Per Hemrin TeliaSonera Sverige AB Stab Juridik, Regulatoriska frågor FARSTA

Föreläggande till TeliaSonera om sänkning av grossistpriser för telefoniabonnemang

Avseende förslagens konsekvenser för krisberedskapen både för berörda myndigheter som för vård- och omsorgssektorn i sin helhet

DOM z 4 Meddelad i Göteborg. MOTPART Kommunstyrelsen i Kungsbacka kommun Kungsbacka

ANSÖKAN OM VALIDERING INOM LÄRARLYFTET VT15

Konsumentklagomål på telefoni och bredband. Kvartalsrapport juli - september 2015

Gällande lagar och regler

RÅDETS DIREKTIV 2001/115/EG

DOM Stockholm

Svar på remiss angående "Låt fler forma framtiden" betänkande av 2014 års demokratiutredning (SOU 2016:5), Ku2016/00088/D.

Ansökan om begränsning av marknaden för marktjänster vid Bromma Stockholm flygplats

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

REMISSVAR: Förslag till översyn av EU:s handelssystem för perioden

HÖGSTA DOMSTOLENS DOM

Case Id: cefd d-8e8f-77477d5269e3

eidas införande i Sverige Björn Scharin, PTS

Betänkandet E-legitimationsnämnden och Svensk e-legitimation SOU 2010:104

FÖRSTÄRKT SKYDD FÖR ARBETSTAGARE MED ALLMÄN VISSTIDSANSTÄLLNING OCH VIKARIAT Departementspromemoria (Ds 2012:25)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Remissvar En förvaltning som håller ihop. KS

Net id OEM Användarhandbok för Windows

1. Att lyssna 1. Titta på den som talar. 2. Tänk på vad som sagts. 3. Vänta på min tur att prata. 4. Säg det jag vill säga. 1.

IVAs synpunkter på Strategier för myndigheternas arbete med e- förvaltning. (SOU 2009:86)

DROGHANDELN PÅ DARKNET

Steg 4. Lika arbeten. 10 Diskrimineringslagen

Eget val inom hemtjänsten

Hjälpkraft till reservkraft vart hämtas denna? Matning för likriktare, motorvärmare och dyl.

2016:17. LEFI Online. Uppföljning initierad av IAF

1 Bakgrund. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

(8) Dnr: 2012/83 M1. Rättsenheten. Arbetsmarknadsdepartementet Stockholm

Rättspraxis: Vägledande rättsfall om anmälningsdirektivet från EU-domstolen och svenska domstolar

Transkript:

Datum Vår referens Sida 2011-04-26 Dnr: 11-1262 1(6) Ert datum Er referens 2011-04-26 N2011/559/ITP Näringsdepartementet 103 33 Stockholm PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige PTS kommentarer baserar sig på myndighetens olika verksamhetsområden. Kommentarerna lämnas i tre delar. Del ett med avseende på PTS som en e-tjänstetillhandahållare och användare av e-legitimationer. Del två med avseende på det uppdrag PTS har bland annat inom området för handikappolitiken samt användbarhet avseende IT och elektroniska kommunikation. Del tre med avseende på att PTS i enlighet med 2 förordning (2000:833) om kvalificerade elektroniska signaturer, är tillsynsmyndighet enligt lagen om kvalificerade (2000:832) elektroniska signaturer. PTS som e-tjänstetillhandahållare PTS ser positivt på att området samordnas. PTS bedömer även att den föreslagna lösningen kan underlätta myndighetens arbete med att erbjuda e- tjänster. PTS uppdrag inom området användbar IT och elektronisk kommunikation samt handikappolitiken Myndigheten ska enligt 11 dess instruktion verka för att företag och andra enskilda har förtroende för samt förmåga och möjlighet att använda IT och elektroniska kommunikationstjänster. Myndigheten ska vidare särskilt verka för att de handikappolitiska målen uppnås inom dess ansvarsområde. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Att kunna utföra tjänster elektroniskt är en central del i människors vardag. Både avseende offentliga tjänster och privata tjänster såsom bankärenden. Det är därför av yttersta vikt att inte utestänga eller onödigtvis försvåra detta genom lösningar som kan vara svåra eller omöjliga att använda. Problematiken som många människor har med inloggning är väl känt. Det kan t.ex. konstateras i de tillgänglighetsundersökningar PTS har låtit genomföra avseende Internetbanker. 1 Såvitt PTS förstår är förslaget att leverantörer, legitimationsutfärdare, helt fritt ska få utforma och utveckla lösningarna så länge de uppfyller säkerhetskraven i tillitsramverket 2. Såvitt PTS förstår ställs således inga krav att e-legitimationen ska vara lättanvänd för den som ska legitimera sig. Det finns då en risk att lösningarna inte utvecklas på de mest fördelaktiga sätten avseende användbarhet. Det finns mycket kunskap om hur man utvecklar lösningar som fungerar för så många som möjligt. Denna kunskap kanaliseras t.ex. genom WCAG:s riktlinjer 2.0 3 samt Vägledningen 24-timmarswebben (som för närvarande håller på att uppdateras med ledning av E-delegationen). Det är PTS uppfattning att en legitimationsutfärdare, likväl som att uppfylla säkerhetskraven, måste uppfylla rimliga krav på att e-legitimationen ska vara användbar och lättanvänd för den som ska nyttja e-legitimationen för att legitimera sig. Att utfärdaren måste ha ett systematiskt arbete avseende användbarhet och tillgänglighet. PTS anser därför att e-legitimationsnämnden ska få i uppgift att på lämpligt sätt kräva detta. Inledningsvis är det lämpligt att med hjälp av tillgänglighetsexpertis undersöka vilken nivå på användbarhet som ska uppnås samt ge förslag på hur ett systematiskt användbarhetsarbete ska ske. Det skulle kunna vara att för att få bli en godkänd e-legitimationsutfärdare så måste denne tillämpa relevanta delar av t.ex. den uppdaterade Vägledningen för 24-timmars i sin e-legitimationslösning. Kraven kan behöva föras in stegvis. PTS vill i sammanhanget också belysa att för en användares del så är det inte bara lösningen som sådan som måste vara användbar, utan hela kedjan från ax till limpa. Hur jag skaffar mig en e-legitimation, om den informationen är tillräckligt tydlig, om jag förstår hur jag ska ladda ned eventuell programvara, om det är det klart var och hur jag kan använda e-legitimationen, förstår jag instruktionerna om det är något fel vid användandet, är det tillräckligt tydligt att jag har lyckats identifiera mig med min e-legitimation etc. 1 http://www.pts.se/sv/dokument/rapporter/funktionshindrade/2010/sammanfattning-avtillganglighetsanalys-av-fem-banker-2010---pts-er-201024/ 2 Utredningen s. 13 f. 3 Web Content Accessibility Guidelines, riktlinjer för hur innehåll på Internet görs tillgängligt primärt för personer med funktionsnedsättning. Riktlinjerna ges ut av The World Wide Web Consortium. Post- och telestyrelsen 2

3(6) PTS vill betona att de svårigheter som kan uppstå vid inloggning och dylikt inte endast avser ett fåtal individer. Det är väldigt många människor som berörs. För statistik avseende hur många som har olika funktionsnedsättningar som kan skapa svårigheter se t.ex. Hjälpmedelsinstitutets statistik 4. Dessutom är det en kommande stor äldregeneration. Man måste även beakta att det också är andra faktorer som påverkar hur människor utan permanenta funktionsnedsättningar kan tillgodogöra sig tekniska lösningar såsom e-legitimationer. Vi alla tjänar alltså på användbarhet. Om ett nytt system avseende e-legitimationer sätts i drift utan att beakta användbarhetsperspektivet finns det en uppenbar risk att e-legitimationer inte kommer att nyttjas på det sätt som skapar mest samhällsekonomisk nytta. PTS som tillsynsmyndighet för utfärdare av kvalificerade elektroniska signaturer PTS svar begränsar sig i denna del till den föreslagna signeringstjänsten PTS är tillsynsmyndighet enligt lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen). PTS har även rätt att utfärda föreskrifter om krav enligt 9-12 signaturlagen, gällande krav på utfärdaren av kvalificerade certifikat. Det är därför viktigt att PTS och e-legitimationsnämndens arbete samordnas, så att utfärdade kvalificerade certifikat uppfyller de krav som e- legitimationsnämnden kan komma att ställa. Detta för att kvalificerade certifikat som utfärdas i Sverige ska kunna användas inom offentlig förvaltning. EUkommissionen är mer aktiv på signaturområdet än tidigare och har tagit fram en handlingsplan 5 som kan komma att påverka e-legitimationer i allmänhet och kvalificerade certifikat och signaturer i synnerhet. I handlingsplanen förutskickas bl.a. att kommissionen ska ta fram vägledning för gemensamma krav på interoperabla kvalificerade certifikat samt avancerade och kvalificerade signaturer. Kommissionen förutskickar vidare att det beslut som pekar ut standarder som kan användas för att möta kraven enligt signaturdirektivet ska uppdateras. En sådan uppdatering kan komma att påverka innehållet i eventuella föreskrifter. PTS anser att e-legitimationsnämnden i möjligaste mån 4Denna statistik finns bl.a. medtagen i PTS rapport avseende grundläggande betaltjänster, s 18 http://www.pts.se/upload/rapporter/post/2010-29-grundlaggande-betaltjanster-101215.pdf 5 COM (2008) 798 final COMMUNICATION FROM THE COMMISSION TO THE COUNCIL, THE EUROPEAN PARLIAMENT, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS Action Plan on e-signatures and e-identification to facilitate the provision of crossborder public services in the Single Market Post- och telestyrelsen 3

4(6) bör följa de riktlinjer och beslut som fattas av EU även gällande de icke kvalificerade certifikaten. Kraven på uteslutande egen kontroll för undertecknaren I betänkandet anges att det behövs en central tjänst för elektroniska underskrifter (signeringstjänst) och att tjänsten bör utformas så att kvalificerade certifikat utfärdas momentant och att en säker anordning för signaturframställning tillhandahålls så att de elektroniska underskrifterna kan anses vara kvalificerade. Vidare anges att den elektroniska underskriften ska ha skapats med medel som endast användaren kontrollerar, dvs. som användaren kontrollerar så att den inte kan kopieras eller annars missbrukas av en obehörig utan att detta upptäcks. PTS konstaterar att enligt 2 signaturlagen definieras en kvalificerad elektronisk signatur som en avancerad elektronisk signatur som är baserat på ett kvalificerat certifikat som är skapad av en säker anordning signaturframställning. I lagen definieras en avancerad elektronisk signatur, som en elektronisk signatur som a) är knuten uteslutande till en undertecknare, b) gör det möjligt att identifiera undertecknaren, c) är skapad med hjälpmedel som endast undertecknaren kontrollerar, och d) är knuten till andra elektroniska data på ett sådant sätt att förvanskningar av dessa data kan upptäckas, PTS konstaterar att den föreslagna lösningen med certifikat som genereras momentant i en server svårligen kan leva upp till kraven på att certifikatet är knutet uteslutande till en undertecknare och att signaturen skapas med hjälpmedel som endast undertecknaren kontrollerar. PTS bedömning baseras på att åtkomsten till certifikaten på servern kan ske genom att en användare identifierar sig med en lösning, baserad på symmetrisk kryptering, som möjliggör för både användaren och tillhandahållaren av signeringstjänsten att ha tillgång till certifikat med tillhörande nycklar. PTS har tillsammans med övriga tillsynsmyndigheter i Europa gemensamt tagit fram ett dokument avseende synen på användningen av signeringsservrar för avancerade- och kvalificerade elektroniska signaturer 6. Slutsatsen av det arbetet är att det inte kan uteslutas att avancerade elektroniska signaturer skulle kunna framställas med hjälp av en signeringsserver. Det kan därför inte uteslutas att 6 Forum of European Supervisory Authorities for Electronic Signatures (FESA), Public Statement on Server Based Signature Services Post- och telestyrelsen 4

5(6) det är tillräckligt med en logisk egen kontroll över privata nycklar. Det finns dock åtminstone ett land inom EU som har krav på fysisk egen kontroll. När det gäller lagringen av privata nycklar anger utredningen att rättsläget är oklart när det gäller huruvida en signeringsserver lever upp till förbudet i signaturlagen mot lagring och kopiering. Det kan enligt PTS mening ifrågasättas i vilken utsträckning det överhuvudtaget är möjligt att lagra privata nycklar i en central signeringstjänst. Om så är fallet behövs sannolikt mycket stränga krav ställas på tekniska och organisatoriska åtgärder för att skydda nycklarna från obehörig åtkomst. Säker anordning för signaturframställning Av utredningen framgår att signeringstjänsten ska kunna framställa kvalificerade signaturer. Detta ställer krav på att framställningen sker med hjälp av en säker anordning för signaturframställning (SSCD). Endast anordningar som bedömts överensstämma med kraven i 3 signaturlagen får användas för att framställa kvalificerade signaturer. Bedömningen ska ha gjorts av det för ändamålet behöriga organet i Sverige 7, för närvarande SWEDAC 8. Det bör påpekas att SSCD i en traditionell lokal lösning för signaturframställning utgörs av ett smart kort. SSCD omfattar således inte hela miljön där den används 9. PTS känner inte till att några andra bärare än smarta kort för närvarande har certifierats som SSCD i Europa. Övrigt Avslutningsvis vill PTS betona vikten av att tolkningen av lagen och direktivet görs i överensstämmelse med tillämpningen och tolkningen i övriga Europa. Detta särskilt med tanke på den tilltänkta möjliga användningen för gränsöverskridande e-tjänster, t.ex. i samband med förfaranden enligt tjänstedirektivet, och tilliten till i Sverige utfärdade kvalificerade certifikat. PTS delar utredningens bedömning att det i det fortsatta arbetet behöver genomföras en rättslig bedömning om den föreslagna signeringstjänstens 7 2000/709/EC: Commission Decision of 6 November 2000 on the minimum criteria to be taken into account by Member States when designating bodies in accordance with Article 3(4) of Directive 1999/93/EC of the European Parliament and of the Council on a Community framework for electronic signatures (notified under document number C(2000) 3179) (Text with EEA relevance) 8 http://ec.europa.eu/information_society/policy/esignature/eu_legislation/notification/sweden/index_e n.htm 9 Se ingresspunkt 15 till direktiv 1999/93/EG. Post- och telestyrelsen 5

6(6) fysiska och logiska skydd medger utfärdande av kvalificerade certifikat och signaturer. PTS är beredd att bistå i det arbetet. Catarina Wretman Yttrandet har beslutats av ställföreträdande generaldirektören Catarina Wretman. I ärendets slutliga handläggning har även chefen för nätsäkerhetsavdelningen Annica Bergman och Björn Scharin (föredragande) deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss