Fortsatt försörjning av tjänster för e-legitimering och e-underskrift. Dnr: /

Relevanta dokument
Introduktion till eidas. Dnr: /

Årsberättelse för. E-legitimationsnämnden

Vad händer här och nu? E-legitimationsnämndens aktiviteter

E-legitimering och e-underskrift Johan Bålman esam

E-legitimeringssystemet - så här fungerar det och de här avtalen finns. Anna Månsson Nylén

Anpassa era e-tjänster. Med nya och utländska e-legitimationer behövs också fristående underskriftstjänst

Vad händer med översynen av Svensk e-elegitimation?

Svensk e-legitimation och eidas

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Status

Svensk e-legitimation nu är det dags!

Resultat från eidas-enkäten Dnr: /

Svenska och utländska e-legitimationer vad händer?

Dags att anpassa e-tjänsterna. Fler e-legitimationer är på väg in!

Är era e-tjänster redo? Nu vill nya och utländska e-legitimationer in!

Valfrihetssystemet eid 2016 Övergångstjänst. E-legitimationsnämndens informationsmöte 31/5

Hjälp oss att bygga upp ett bra stöd för era e tjänster kopplat till utländska e legitimationer genom att svara på denna enkät.

Resultat från E-legitimationsenkäten

Marknaden år 2012 för elektronisk legitimering och underskrift inom offentlig sektor

Svensk e-legitimation

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Läget på e-legitimationsområdet

Ställningstagande Digital identitetshantering

Marknaden år 2011 för elektronisk legitimering och underskrift inom offentlig sektor

eidas i korthet Eva Sartorius

Svensk e-legitimation. 7 mars

eidas och Svensk e-legitimation

Vad händer här och nu? Projekt och på gång på E-legitimationsnämnden 2018 Annika Bränström Anna Månsson Nylén Inger Greve

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Svensk e-legitimation

Årsberättelse Dnr /113

Kommittédirektiv. Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (N 2016:01) Dir. 2016:39

Årsberättelse SOLNA Korta gatan

2016 går offentlig sektor över till Svensk e-legitimation EUROPOINT

Framtida spelplan för e-legitimering

Elevlegitimation ett konkret initiativ.

Viktiga steg för gränsöverskridande e-legitimation

Tekniskt ramverk för Svensk e- legitimation

Leverantörsmöte om tekniska specifikationer

Förfrågningsunderlag

Hur skapar du en koppling mellan svenska och utländska eid:n?

Remiss av PM: Myndigheters tillgång till tjänster för elektronisk identifiering

YTTRANDE Nils Fjelkegård Datum Dnr /112

SAMSET dagsläget sommaren 2003

Infrastrukturen för Svensk e-legitimation

E-legitimationer i Sverige idag

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

E-tjänst över näringsidkare

Svensk e-legitimation. Nu kör vi!

Svensk e-legitimation Hearing om regelverksremiss

Digitalisering är en lagsport. Anna Eriksson

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Normativ specifikation

Tjänster för elektronisk identifiering och signering

Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Svensk e-legitimation

E-legitimationer enligt eidas

Informationsstöd om e-legitimering och e-underskrifter

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

E-legitimationsdagen - Seminariepass - Spår 1

Tekniskt ramverk för Svensk e-legitimation

Förvaltningsforum 20 maj maj

Kommittédirektiv. En myndighet för samordning av elektronisk identifiering och signering. Dir. 2010:69

E-legitimationsnämnden Nils Fjelkegård SOLNA. Stockholm

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Kopplingsregister eidas. Förstudie

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Informationsmöte kring E- legitimationsnämndens arbete mot morgondagens digitala behov

Verksamhetsinriktning hösten 2018

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

Vem är du och vad får du göra?

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Bilaga 2. Säkerhetslösning för Mina intyg

Introduktion. September 2018

Bilaga 2 till Digitaliseringen av det offentliga Sverige en uppföljning (ESV 2018:31)

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Att legitimera sig elektroniskt i tjänsten

BILAGA 1 Definitioner

Identitet, kontroll & spårbarhet

Juridisk vägledning för införande av e-legitimering och e-underskrifter

E-legitimationsutredningen SOU 2010:104

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Anslutningsavtal. inom identitetsfederationen för offentlig sektor. för leverantör av eid-tjänst

E-legitimationsdagen

BILAGA 3 Tillitsramverk Version: 2.1

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk

Borås Stads remissyttrande över Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen

esam juridik Samverkan mellan myndigheter och SKL om digitaliseringen av det offentliga Sverige

Principer för digital samverkan i Stockholms län PRINCIPER FÖR DIGITAL SAMVERKAN

Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte

Regeringsuppdrag Fördjupade analyser av Svensk e-legitimation ur ett säkerhetsperspektiv

Förslag till avgiftskonstruktion och finansiering för E- legitimationsnämnden

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Transkript:

Fortsatt försörjning av tjänster för e-legitimering och e-underskrift Dnr: 131 645711-15/9513 2016-10-25

PM 1(43) Datum Dnr 2016-10-25 131 645711-15/9513 Innehåll 1 Sammanfattning... 2 2 Behov av e-legitimationer och e-underskrifter... 4 2.1 Myndighetsuppdrag inom e-legitimering och e-underskrift... 5 3 Beskrivning av modellen för Svensk e-legitimation... 5 3.1 Delar av modellen har brett stöd... 6 3.2 Kritik mot modellen... 7 3.3 Nämndens åtgärder med anledning av kritiken... 8 4 Den kortsiktiga försörjningen... 9 5 Analys av ändringsbehov... 12 5.1 Mål för e-legitimationsområdet... 12 5.2 Myndigheternas och användarnas behov... 13 5.3 Behov som framkommit i samband med regeringsuppdraget... 14 5.4 Det svenska införandet av eidas-förordningen... 15 6 Nästa steg... 17 6.1 Den framtida modellen... 17 6.2 Åtgärder kopplade till målen... 18 6.3 Nämndens prioriterade åtgärder i förhållande till den tidigare modellen... 19 6.4 Avtal om e-legitimering och e-underskrifter... 21 6.5 Tillit och säkerhet... 23 6.6 Ny svensk nationell identitetsfederation... 25 6.7 Fortsatt arbete med nästa steg... 27 7 På längre sikt... 28 7.1 Ökat statligt ansvar för grundläggande identifiering av personer... 29 7.2 Säkrare utgivning av fysiska id-handlingar... 30 7.3 E-legitimationer till nyanlända... 31 7.4 Behov av en statligt tillhandahållen e-legitimation på den högsta tillitsnivån... 32 7.5 Låga kostnader för elektronisk identifiering och underskrift... 34 8 Uppdragets genomförande... 35 9 Ordlista... 37 10 Bilaga: uppdragstext... 40 www.elegnamnden.se Postadress Besöksadress Telefon växel E-postadress 171 94 SOLNA Korta gatan 10 010-574 21 00 kansliet@elegnamnden.se

2(43) 1 Sammanfattning En viktig grundförutsättning i regeringens målsättning digitalt först är att det finns säkra e-legitimationer till alla och att dessa kan användas enkelt och kostnadseffektivt. E- legitimationsnämnden har uppdrag att stödja och samordna e-legitimering och underskrifter i offentlig sektors tjänster. Nämnden fick i november 2015 ett regeringsuppdrag att säkerställa fortsatt försörjning av tjänster för elektronisk identifiering och underskrift. En kortsiktig försörjningslösning är framtagen. I denna slutrapport redovisas ett antal komponenter som behöver komma till stånd för att säkra försörjningen från 2018 när en del av de nuvarande avtalen löper ut och utländska e-legitimationer (eidas) införs i Sverige. I rapporten pekar E-legitimationsnämnden bland annat på följande åtgärder för att utveckla den tidigare lösningen och ge en hållbar försörjning av tjänster för e- legitimering och e-underskrift: Utveckla de avtal för e-legitimering som behövs, istället för som tidigare endast ett valfrihetssystem. Det ger ökad valfrihet för både kommuner, myndigheter, e- legitimationsutfärdare och andra leverantörer. Använd i första hand E-legitimationsnämndens tekniska ramverk (SAML2). Det ger en enhetlig hantering och enklare anslutning av e-legitimationer även från andra EU-länder. Skapa en ny federativ central tjänst för metadata, för att säkerställa kommunikationen kring e-legitimering nationellt och internationellt. Möjliggör e-underskrift i alla myndigheters e-tjänster oberoende av vilken e- legitimation användaren valt. Utverka ett större statligt ansvar för grundidentifiering med stöd av biometri för att skapa en fullvärdig fysisk id-handling och minst en e-legitimation som kan ligga till grund för andra e-legitimationer (s.k. id-växling). Alla ska kunna få tillgång till säkra e-legitimationer som är enkla att använda i många tjänster. Fler innovativa, säkra e-legitimationer behövs utan att transaktionspriserna blir för höga. Nyanlända måste i framtiden kunna få tillgång en e-legitimation för att sköta bl.a. myndighetskontakter digitalt. För att förhindra id-kapningar är det bland andra åtgärder nödvändigt med säker utgivning av både fysiska och elektroniska id-handlingar. Nämnden bedömer att det vore bäst att samla utgivningen av fullvärdiga fysiska id-handlingar till endast en statlig myndighet. Dessutom rekommenderar nämnden att fysiska id-handlingar ska innehålla biometriska uppgifter som kan användas vid kontroll av individens identitet, exempelvis i

3(43) samband med utgivning av e-legitimationer. Detta möjliggör kontroll av att biometriska data som lagrats i den fysiska id-handlingen eller i mobilen motsvarar användarens fysiska biometriska data (s.k. match on) vid bl.a. användning av e-legitimationen, vilket väsentligt försvårar id-kapningar och användning av stulna e-legitimationer Översikt över nämndens ställningstaganden i denna promemoria: Figur: Översikt över nämndens ställningstaganden i denna promemoria

4(43) 2 Behov av e-legitimationer och e-underskrifter Digitaliseringen bygger på att användare kan logga in med en e-legitimation i både offentlig och privat sektors tjänster och kan göra underskrifter elektroniskt. Enligt BankID-statistiken för september 2016 har sju miljoner personer nu BankID/Mobilt BankID. Den prognosticerade volymen för 2016 är två miljarder transaktioner, varav offentlig sektor står för 7,6 % (152 miljoner transaktioner). Den offentliga volymen var ca 125 miljoner transaktioner 2015 och drygt 100 miljoner 2014. Trots den offentliga volymökningen minskar den offentliga andelen av den totala BankID-volymen över åren, eftersom volymerna för internetbanker och betalningstjänsten Swish ökar ännu mer. När användaren loggar in med sin e-legitimation för att visa vem hon eller han är kallar vi det för e-legitimering. Enligt nämndens enkäter 2015 och 2016 har många kommuner, alla landsting, alla länsstyrelser och ett 40-tal andra statliga myndigheter behov av att användare ska kunna e-legitimera sig. Behovet förväntas öka i takt med digitaliseringen. Grundprincipen i e-legitimeringsflödet är: Användaren anger att han eller hon vill logga in med en viss e-legitimation i en tjänst Tjänsten skickar en fråga (identitetsintyg/spärrkontrollfråga) till e- legitimationsutfärdaren E-legitimationsutfärdaren kontrollerar vem användaren är och skickar därefter ett svar (identitetsintyg eller motsvarande) till tjänsten Tjänsten har därmed elektroniskt identifierat vem användaren är Under de femton år som offentlig sektor har haft e-legitimering i sina tjänster har tekniken utvecklats och förändrats mot alltmer lättanvända e-legitimationer som tydligt påverkat användarens incitament att genomföra sina ärenden digitalt. Genom att gå mot mer standardiserade lösningar har integrering av e-legitimering i tjänsterna blivit enklare och mer kostnadseffektiva. Förfarandet när en fysisk eller juridisk person skriver under en elektronisk handling med digitala hjälpmedel kallas för elektronisk underskrift. Den 1 juli 2016 ändrades svenska lagar avseende på underskrifter. Ändringarna föranleddes av eidas-förordningen som bl.a. innehåller regler om underskrifter. En elektronisk underskrift har nu samma tyngd som en på papper. En e-underskrift kan vara avancerad eller kvalificerad. Det finns ett fåtal svenska lagregler kvar om att en underskrift fortfarande måste vara på papper.

5(43) Enligt nämndens enkät 2015 har minst hälften av de kommuner och myndigheter med e- tjänster som kräver inloggning med e-legitimation även behov av e-underskrifter. Enligt samma enkät förväntas behovet av e-underskrifter öka framöver. Det finns många olika sätt att tekniskt utföra en elektronisk underskrift. Grundprincipen är: Handlingen som ska skrivas under visas för undertecknaren. Undertecknaren anger att hon eller han skriver under. Undertecknaren ska vara säkert identifierad vid underskriftstillfället. Underskriften knyts elektroniskt till den informationsmängd som i sin tur är knuten till handlingen som skrivs under. Undertecknaren får en bekräftelse på genomförd underskrift och den underskrivna handlingen och tillhörande uppgifter hanteras och sparas. 2.1 Myndighetsuppdrag inom e-legitimering och e-underskrift E-legitimationsnämnden har i uppdrag att stödja offentliga myndigheter med behov av e- legitimering och e-underskrifter och har lagstadgad möjlighet att skapa valfrihetssystem för elektronisk identifiering. Nämnden har även uppdrag inom området elektronisk identifiering enligt eidas och har bl.a. ansvar för den svenska eidas-noden. Kammarkollegiet ansvarar för ramavtal där bl.a. e-legitimering och e-underskrift ingår. Post- och telestyrelsen har tillsynsansvar för e-underskrifter och andra betrodda tjänster enligt eidas-förordningen och erbjuder vägledning inom samma område. esam tar fram en rättsligt orienterad vägledning om e-legitimering och e-underskrift och erbjuder arkitekturstöd. Sveriges Kommuner och Landsting ger stöd till kommuner och landsting inom området. 3 Beskrivning av modellen för Svensk e-legitimation Bildadet av E-legitimationsnämnden 2011 föregicks av två offentliga utredningar som båda beskrev och preciserade en lösning för offentlig sektors behov av e-legitimering och e-underskrift. E-legitimationsnämndens arbete inriktades på att förverkliga den föreslagna lösningen. De övergripande målen vid utvecklingen av modellen för Svensk e-legitimation var att främja tillgången till användbara och säkra e-legitimationer för alla underlätta kravställande och avtalshantering för upphandlande myndigheter bidra till säkra och standardiserade transaktioner för elektronisk identifiering

6(43) underlätta nytillträde av framtida innovativa lösningar och samtidigt inkludera befintliga e-legitimationer Modellen för Svensk e-legitimation bestod av följande huvudkomponenter: ett övergripande regelverk offentlig sektors del av modellen baserades på Lagen (2013:311) om valfrihetssystem för upphandling av ingående tjänster en prismodell baserad på ett pris per månadsanvändare och upphandlande myndighet ett tillitsramverk byggt på standard som specificerade krav för tre olika tillitsnivåer för e-legitimationernas hela livscykel med Svensk e-legitimation som kvalitetsmärke tekniska specifikationer byggd på en väletablerad internationell standard (SAML 2.0) för kommunikationen mellan parterna i modellen några centrala it-komponenter Utvecklingen bedrevs från 2011 fram till januari 2016. De centrala delarna fanns då framtagna men anslutningen från leverantörssidan var obefintlig och bland myndigheter och kommuner inte tillräcklig. 3.1 Delar av modellen har brett stöd Upplägget med att granska e-legitimationer enligt ett tillitsramverk har brett stöd hos dem som intervjuats och deltagit i dialogmöten. Kvalitetsmärkning av e-legitimationer förenklar kravställningen både för dem som upphandlar e-legitimationer (t.ex. arbetsgivare och id-kortsutfärdare) och för förlitande parter (digitala tjänster). De kan enkelt peka direkt på att e-legitimationerna ska vara kvalitetsmärkta på en viss tillitsnivå och slipper därmed beskriva sina krav i detalj. I stort sett alla kommuner och myndigheter är positiva till nämndens senaste version av tekniska specifikationer för e-legitimationstrafiken. Specifikationerna (Tekniskt ramverk version 1.4) bygger på internationell standard och var tänkta att användas i den planerade arkitekturen (offentliga identitetsfederationen). Specifikationerna är tillgängliga för alla. Samma sak gäller den normativa specifikationen för underskrifttjänster som nämnden tillhandahåller. I samband med det svenska införandet av eidas ser nämnden över möjligheten att använda det tekniska ramverket och har i 2016 års enkätsvar från kommuner och myndigheter fått brett stöd för detta. E-legitimationsnämndens avtal och kravställning hindrar inte, och har inte hindrat, att en e-legitimation används i tjänsten. Anskaffning av en e-legitimation i tjänsten är i stället

7(43) en fråga om arbetsgivarens upphandling av e-legitimationer och användningsområdet för dessa e-legitimationer en arbetsrättslig fråga mellan arbetsgivaren och arbetstagaren. Information om roller och behörighet som den förlitande parten kan behöva, t.ex. kontroll av firmateckningsrätt eller läkarbehörighet hos viss vårdgivare, behöver hämtas in genom digitala bastjänster (attributtjänster). I den planerade lösningen skulle det varit enkelt att koppla in sådana tjänster på ett standardiserat sätt. Det finns ytterligare frågor att lösa vad gäller användning av e-legitimation i tjänsten, exempelvis vilken roll en person ikläder sig vid ett visst tillfälle och dessa frågor behöver utredas vidare. 3.2 Kritik mot modellen Under utvecklingen av modellen för Svensk e-legitimation framfördes kritiska synpunkter mot flera andra delar. Modellen är komplex och det finns ett antal motstridiga krav att ta hänsyn till. Invändningarna gällde: Den valda ersättningsmodellen med o Månadsanvändarpris o Prisnivå och pristrappans korta längd med avseende på antal transaktioner o Att nämnden var avgiftsfinansierad vilket var ytterligare fördyrande för kommuner och myndigheter Att en e-legitimation avtalsmässigt endast kopplades till en leverantör av identitetsintyg Vissa användbarhetsfrågor kopplade till listan över inloggningsmetoder (den centrala anvisningstjänsten) De tidigare gällande tekniska specifikationerna o Sett ur säkerhetssynpunkt o Att användaren inte kunde se vad som skrevs under o Osäkerhet kring hur appar skulle fungera med tekniken Ersättningsmodellen beskriver vilken ersättning leverantören av identitetsintyg ska få vid användning av en e-legitimation. Det är den upphandlande myndigheten med tjänster som har behov av e-legitimering som står för ersättningen. Att ta betalt för månadsanvändare istället för, som hittills, per transaktion var en förändring som fick följder som fullt ut inte vara analyserade. Det finns parter som förordar fastprismodeller medan andra ser fördelar med transaktionsprissättning. Nämnden får ta ut avgifter för sin egen verksamhet från offentlig sektors aktörer som använder e-legitimationer i sina digitala tjänster. Detta skulle varit en avgift som respektive aktör inte tidigare har haft. Beräkningar visade på att vissa kommuner och myndigheter med månadsanvändarpris skulle fått betydligt högre kostnader även om inte avgifter för nämndens verksamhets

8(43) skulle tas ut. Även leverantörer av identitetsintyg hade synpunkter på ersättningsmodellen i och med att den ersättning de skulle kunna räkna med att få inte skulle varit på en sådan nivå att de skulle kunna etablera en ny tjänst för utgivning av e- legitimationer. Den valda modellen innehöll en s.k. identitetsfederation baserad på standardiserad SAML 2.0-teknik. Samma tekniska lösning avropar många myndigheter idag av sina leverantörer av integrationstjänster mot utfärdare. Det nya med den valda modellen var att ensa kraven med avseende på SAML 2.0 från dagens situation då olika leverantörer implementerar olika varianter. MSB genomförde en genomlysning av Svensk e- legitimation under 2014 med hjälp av FOI, FRA och MUST. Genomlysningen utmynnade i 22 rekommendationer för att höja säkerheten i modellen. I den valda modellen kravställs inte e-legitimationerna på teknisk nivå till skillnad från i det tidigare avtalet (eid 2008). Granskningen bygger istället på ett riskbaserat synsätt. Varken avropande myndigheter och kommuner, användare eller e-legitimationsutfärdare, har framfört några invändningar mot det gällande tillitsramverket som används av E- legitimationsnämnden vid granskning av e-legitimationsutfärdarna och e- legitimationerna. Däremot finns det experter inom området som under 2015 meddelade att de skulle vilja se en högre ambitionsnivå, med tillägg av ytterligare krav och dagens granskning omorganiserad till certifiering och tillsyn. Certifiering av utfärdare har tidigare föreslagits och bedömts som ett bra sätt att få kvalitet i granskningen av kravuppfyllnaden, men på grund av de ökade kostnaderna för e-legitimationsutfärdarna som skulle uppstå har utfärdarna framfört kritik mot dessa förslag. 3.3 Nämndens åtgärder med anledning av kritiken Kritiken mot säkerhet och användbarhet hanterades under 2015. Den version av nämndens tekniska specifikationer (Tekniskt ramverk version 1.4) som publicerades i oktober 2015 innehöll ändringar i linje med MSB:s 22 punkter och stämdes av med MSB. Försäkringskassan framförde dock fortsatta krav om opartisk granskning, opartiska penetrationstester, uppvisande av en hållbar lösning för mobila enheter etc. En andra prototyp för dialogen där användaren väljer e-legitimation att logga in med togs fram i nära samverkan med myndigheter och personer med funktionsnedsättningar. Nämnden bedömer att intressenterna var nöjda med resultatet. En del parter ser en fördel om alla tjänster inom offentlig sektor skulle använda samma dialog för användaren vid val av e-legitimation, medan andra parter har lyft fram behov av att själva skräddarsy sin lista. Nämnden planerade därför om så att myndigheterna skulle få välja fritt mellan alternativen.

9(43) Ersättningsmodellen analyserades i början av regeringsuppdraget men den skisserade ändringen krävde förankringsarbete hos anslutna myndigheter vilket inte hann genomföras innan övergångslösning för den kortsiktiga försörjningen presenterades och därför justerades inte ersättningsmodellen. Regeln om att en e-legitimation endast kunde finnas hos en leverantör av identitetsintyg ändrades inte heller eftersom den grundläggande principen är att ett valfrihetssystem bygger på att det är användarens val som bestämmer vilken leverantör som ska få ersättning. Den låga anslutningen från kommuner och myndigheter berodde dels på nämnda synpunkter, dels på att inga utfärdare (leverantörer av identitetsintyg) ansökte och skrev avtal. Detta ledde till att regeringen gav detta regeringsuppdrag till nämnden och att nämnden under våren 2016 beslöt sig för att ytterligare se över modellen. Nämnden startade ett förstudiearbete för att komma fram till en långsiktig hållbar lösning och eftersom ett kortsiktigt alternativ hade tagits fram beslöt nämnden att ta ner valfrihetssystemet för Svensk e-legitimation för att inte parterna skulle bli bundna i avtal med fel villkor. 4 Den kortsiktiga försörjningen E-legitimationsnämnden har i uppdrag att säkerställa att myndigheterna har tillgång till väl fungerande tjänster för elektronisk identifiering och underskrift utan avbrott när tidigare ramavtal löpte ut i juni 2016. E-legitimationsnämnden har därför utrett olika alternativ för att hantera detta. E-legitimationsnämnden beslutade (den 29 januari 2016) att införa ett kompletterande valfrihetssystem (eid 2016 Övergångstjänst) för en begränsad tidsperiod enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering. Avtalet (se följande bild) inkluderar e-legitimering och e-underskrifter baserat på befintliga, väl spridda och betrodda, e-legitimationer på den svenska marknaden enligt leverantörernas val av teknik. Syftet var att säkerställa myndigheters och kommuners omedelbara försörjning av tjänster för e-legitimering och e-underskrifter när befintliga avtal löpte ut 30 juni 2016.

10(43) Figur: översikt över eid 2016 Övergångstjänst E-legitimationsnämnden förde under uppdraget dialog med Kammarkollegiet och de myndigheter som är stora användare av e-legitimationer. Nämnden genomförde även en förfrågan riktad till leverantörer för att få en bild av möjligheterna att avropa e- legitimering och e-underskrifter på ramavtalet Programvaror och Tjänster 2014 informationsförsörjning. Slutsatsen var att det var och är möjligt att avropa på detta ramavtal. Det finns således tre möjligheter för upphandlande myndigheter att få tillgång till e- legitimering och e-underskrifter: Avtal med E-legitimationsnämnden om eid 2016 Övergångstjänst Kammarkollegiets ramavtal Programvaror och Tjänster 2014 informationsförsörjning Egen upphandling

11(43) Med de här alternativen säkerställde nämnden myndigheternas omedelbara behov av väl fungerande tjänster för elektronisk identifiering och underskrift efter det att tidigare avtal löpte ut 30 juni 2016. Information om nämndens avtal eid 2016 Övergångstjänst Nämndens avtal eid 2016 Övergångstjänst är enkelt för upphandlande myndigheter att teckna, men de som upphandlar måste säkerställa att tekniken som erbjuds i avtalet passar ihop med e-tjänsterna. Priserna i avtalet är satta till 17 öre för elektronisk identifiering och 55 öre för underskrift. Upphandlande myndigheter faktureras inte någon avgift för nämndens egna kostnader. Ingen abonnemangs- eller anslutningsavgift debiteras. Fakturor skickas direkt från leverantören till den upphandlande myndigheten. I dagsläget har följande leverantörer tilldelats kontrakt i valfrihetssystemet eid 2016 Övergångstjänst: Swedbank (BankID/Mobilt BankID) Svenska Handelsbanken (BankID/Mobilt BankID) TeliaSonera (Telia) Nordea Bank (BankID/Mobilt BankID) Cirka 30 upphandlande myndigheter hade i oktober 2016 tecknat avtal med E- legitimationsnämnden om eid 2016 Övergångstjänst. De tidpunkter som är viktiga inom avtalet eid 2016 Övergångstjänst är: 2016-03-04 Annonsen publicerades 2016-06-30 Många befintliga avropsavtal om e-legitimering och e- underskrifter löpte ut 2016-12-31 Sista datum för annonsen 2017-06-30 Sista dag för upphandlande myndigheter att förlänga sina avtal 2017-12-31 Löptiden för upphandlande myndigheters avtal om löper ut om de inte förlängts 2018-12-31 De sista leveransavtalen för eid 2016 löper ut

12(43) 5 Analys av ändringsbehov Nämnden har både inom ramen för detta regeringsuppdrag och på eget initiativ analyserat behoven och vad som behöver ändras för att e-legitimering och e-underskrift ska fungera väl när de nuvarande avtalen (eid 2016 Övergångstjänst, PT 14-avrop och egna upphandlingar) så småningom börjar löpa ut, och på längre sikt. Vissa organisationsfrågor och vissa frågor om behörighets- och attributtjänster hanteras inom ramen för den offentliga utredningen Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (dir. 2016:39). Nämndens utredningsarbete utgår från regeringens mål på området och från de behov som har samlats in. 5.1 Mål för e-legitimationsområdet Regeringens mål med koppling till e-legitimationsområdet är: Förvaltningspolitik It-politik Digital förvaltning Digitalt först En innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet och som därigenom bidrar till Sveriges utveckling och ett effektivt EUarbete. Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter En enklare vardag för medborgare Öppnare förvaltning som stödjer innovation och delaktighet Högre kvalitet och effektivitet i verksamheten Digitala tjänster ska vara förstahandsval i det offentligas kontakter med medborgare och företag Figur: Mål för digitaliseringen av det offentliga Sverige Regeringen skriver i sin e-förvaltningsstrategi att det ska vara tryggt att använda statsförvaltningens digitala tjänster. Rutinerna för identifiering och underskrifter i samband med användning av digitala tjänster bör fungera på ett enkelt sätt för användaren, oavsett om denna befinner sig i Sverige eller i något annat EU-land. Rutinerna måste dessutom bidra till en god säkerhetsnivå. I budgetpropositionen för 2017 (UO 22) skriver regeringen att den nationella digitala infrastrukturen är en förutsättning för digitalisering av det offentliga Sverige. En väsentlig del i detta arbete är införande och vidareutvecklingen av nationella digitala tjänster, såsom bl.a. e-legitimation. Regeringen skriver vidare att tillgång till tjänster för identifiering är en förutsättning för att digitaliseringen ska bidra till det politiska målet om en enklare vardag för privatpersoner. Dessutom innebär EU-förordningen eidas att

13(43) det finns beslutade lagkrav om att offentliga tjänster ska ta emot utländska e- legitimationer. Nämnden har följande mål: Alla ska kunna få tillgång till säkra e-legitimationer som är enkla att använda Det ska vara enkelt och säkert för digitala tjänster att inkludera e-legitimering och e-underskrift Det ska vara kostnadseffektivt för offentlig sektor med e-legitimering och e- underskrift 5.2 Myndigheternas och användarnas behov Det måste vara enkelt för medborgare och företagare att logga in och skriva under i digitala tjänster. Detta bidrar till att göra det digitala till det naturliga förstahandsvalet. De e-legitimationer som en användare har behöver kunna användas i många digitala tjänster, annars blir det krångligt. För både myndigheter, användare och samhället i stort är det viktigt att användare åtminstone på sikt har tillgång till minst två e-legitimationer som är oberoende av varandra, för den händelse den ena för tillfället inte går att använda. I ett allt mer digitaliserat samhälle blir det allt viktigare att samhället kan skydda medborgarna mot id-kapning, stöld av id-handlingar och bedrägerier. Säker e- legitimering och säkra e-underskrifter försvårar brott är därför en viktig nyckel till förtroende för det digitala samhället. För närvarande står en del målgrupper utanför tillgång till en e-legitimation som kan användas i kommuners och myndigheters tjänster, t.ex. för att de använder andra operativsystem eller äldre utrustning. Det är problematiskt, inte minst för att målgrupper som står utanför många gånger skulle ha särskilt stor nytta av att tjänster är digitala. Samtidigt är det mycket viktigt för både användare, kommuner och myndigheter att utnyttja potentialen i Mobilt BankID. Den e-legitimationen är väl spridd och uppskattas av användarna. Banksektorns tjänster, som internetbanker och Swish, är tjänster som används ofta. Det är viktigt att inkludera både äldre och unga, kvinnor och män, och välkomna alla oavsett funktionsnedsättningar. I den mån biometri används behöver hänsyn tas till funktionshinder genom alternativa metoder. Därför behövs det flera, alternativa, e-legitimationer, vilket också är regeringens ambition.

14(43) 5.3 Behov som framkommit i samband med regeringsuppdraget Under arbetet har följande behov och önskemål lyfts fram av olika intressenter: Det ska vara enkelt, säkert och kostnadsfritt för användare att logga in i kommuners och myndigheters digitala tjänster. Alla ska ha möjlighet att få tillgång till digitala tjänster. Användare ska inte tvingas använda olika e- legitimationer vid användning av tjänster som kräver samma tillitsnivå. Det är viktigt att redan utgivna e-legitimationer fortsatt kan användas. Det ska vara säkert och kostnadseffektivt för offentlig verksamhet med e- legitimering och e-underskrift. Många föredrar att ersättningen till utfärdarna baseras på pris per transaktion. Det finns behov av olika tillitsnivåer för e-legitimationer. Det finns behov av att underlätta för e-legitimationsutfärdare i utgivningsprocessen t.ex. vad gäller den grundidentifiering (ursprungsidentifiering) av fysiska personer som i vissa fall krävs. Det behövs e-legitimationer som kan användas vid utfärdande av nya e- legitimationer (s.k. id-växling) och det finns andra e-legitimationer där det är otillåtet med id-växling. Båda varianterna måste rymmas i modellen. Flera leverantörer ska kunna få leverera identitetsintyg från en och samma e- legitimation, åtminstone vad gäller befintliga e-legitimationer på marknaden. För att minimera sårbarheten och öka robustheten är det viktigt att i framtiden inte vara beroende av endast en part i någon del av e-legitimationstrafiken. Lösningen i stort ska säkerställa den personliga integriteten och exempelvis inte vara helt beroende av att förlitande part måste få tillgång till elevers eller tjänstemäns personnummer. Det är viktigt att modellen i stort inrymmer, och stödjer tillhandahållandet av, behörighetsinformation genom s.k. attributtjänster. Arbetsgivare och uppdragsgivare behöver stöd i sin kravställning när de skaffar e- legitimation till sina anställda och uppdragstagare. Även dessa e-legitimationer ska kunna användas i många digitala tjänster. Det finns behov av flera tekniska integrationsalternativ för e-legitimering. Åtminstone SAML 2.0 och BankID-teknik måste finnas. Vid grundidentifiering av personen i samband med utfärdande av e-legitimationer behöver biometriska uppgifter fångas och lagras lokalt i id-kortet eller i mobilen för att motverka otillåten användning av e-legitimationer (exempelvis idkapning).

15(43) Kravspecifikationer och avtal får inte vara så omfattande att det är svårt att förstå eller förändra, men heller inte vara så begränsade att säkerhet, effektivitet och tillit äventyras. 5.4 Det svenska införandet av eidas-förordningen Nämndens ställningstagande: vid justering av modellen för e-legitimering och e- underskrift måste hänsyn tas till det nära förestående lagkravet att i e-tjänster erkänna utländska e-legitimationer i enlighet med eidas-regelverket. Användare med utländska e-legitimationer har enligt nämndens enkät 2015 behov av att kunna logga in i svenska digitala tjänster. Inom EU/EES godkända utländska e- legitimationer måste enligt lag fungera i kommuners och myndigheters tjänster den 29 september 2018. Analysen och slutsatserna om modellen i stort behöver ta hänsyn till och ligga in linje med eidas-införandet, så att det inte blir för kostsamt för offentlig sektor att införa eidas. Inloggningsalternativet Foreign eid måste införas och leda vidare till den kommande nod som E-legitimationsnämnden har i uppdrag av regeringen att tillhandahålla: Befintliga e-legitimationer E-legitimation 1g 1 E-legitimation 2 Foreign eid Exempel på nya e-legitimationer (anskaffade privat eller av arbetsgivare) Utländska e-legitimationer (eidas) Figur: användarnas behov hösten 2018

16(43) På en övergripande nivå ser elektronisk identifiering enligt eidas-förordningen ( Foreign eid som inloggning) ut så här om användaren väljer att logga in med en norsk e-legitimation: 1.Användaren väljer inloggning 2. Användaren matar t.ex. in en pinkod Svensk digital Svensk tjänst landsnod Svensk landsnod Norsk landsnod Norsk e-legitimation Norsk e-legutftfga e 3. Användaren blir inloggad Figur: översiktligt flöde vid inloggning enligt eidas E-legitimationsnämnden ansvarar för den svenska landsnoden, som i ovanstående flöde uppträder som en leverantör av identitetsintyg in mot den svenska digitala tjänsten (förlitande parten). Enligt nämndens eidas-enkät 2016 vill myndigheter och kommuner att eidas-trafiken på nationell nivå (svenska flaggorna i figuren) ska följa nämndens tekniska ramverk. Inga alternativa förslag lyftes fram av respondenterna. Detta betyder att nämndens tekniska ramverk ska finnas kvar och utökas med förutsättningarna för eidas. Nämnden tillhandahåller sedan september 2016 en pilottestmöjlighet för kommuner och myndigheter, och alla andra förlitande parter, som under hösten 2016 vill påverka detaljer i det tekniska ramverket innan den nya versionen beslutas. Över tid kan vid behov ytterligare tekniska metoder läggas till i den svenska landsnoden.

17(43) 6 Nästa steg 6.1 Den framtida modellen Den framtida modellen kan översiktligt sammanfattas så här: Figur: översiktligt flöde, där 1. Användaren vill logga in i en tjänst, 2. Användaren e-legitimerar sig och 3. Användaren loggas in i tjänsten. På en övergripande nivå är det tänkt att e-legitimering ska utföras på samma sätt som idag. Användaren kommer till en digital tjänst och väljer att logga in med en av de svenska e-legitimationerna. De e-legitimationer som den digitala tjänsten (förlitande parten) har avtalat om, direkt eller indirekt via återförsäljare/leverantörer, kan användas. Framöver kommer även utländska e-legitimationer kunna användas i alla offentliga e- tjänster och i de privata som vill. Erfarenheterna från arbetet med det tidigare valfrihetssystemet och det nuvarande (eid 2016 Övergångstjänst) pekar på att det kan finnas behov av flera avtal för att lösa ovanstående behov för offentliga e-tjänster. Ett annat steg består av att underlätta för parter som vill samverka i en nationell identitetsfederation. Ambitionen är att låta alla ingå i federationens centrala metadataregister oavsett typ av gällande leveransavtal och oavsett om parten upphandlingsrättsligt tillhör offentlig eller privat sektor.

18(43) 6.2 Åtgärder kopplade till målen För att uppfylla nämndens mål behövs ett antal nya komponenter jämfört med situationen 2016: Nämndens mål Komponenter Alla ska kunna få tillgång till säkra e-legitimationer som är enkla att använda En e-legitimation ska kunna användas i alla statliga e-tjänster och i så många andra tjänster som möjligt Statlig grundidentifiering av personer som kostnadsfri tjänst till e- legitimationsutfärdare för att få igång fler innovativa och säkra e-legitimationer från privat sektor Migrationsverket tillhandahåller e-legitimationer till nyanlända En statlig myndighet tillhandahåller e-legitimationer på den högsta tillitsnivån till åtminstone medborgare. E-legitimationen ska kunna ligga till grund för utgivning av andra e-legitimationer Det ska vara enkelt och säkert för digitala tjänster att inkludera e- legitimering och e- underskrift Kvalitetsmärkningen av e-legitimationer och e-legitimationsutfärdare skapar säkerhet och tillit. Underskriftstjänster ska följa en normativ specifikation och genomgå granskningar. Standardiserad trafik gör det enkelt och säkert. Den nationella tillämpningen av standard ska hålla för e-legitimering och e-underskrift med både svenska och utländska e-legitimationer (eidas). En central metadatatjänst möjliggör säker kommunikation mellan leverantörer och förlitande parter. Det ska vara kostnadseffektivt för offentlig sektor med e-legitimering och e-underskrift Valfrihetssystem som upphandlingsform förenklar upphandling och avtalshantering. Användning av samlad volym för offentlig sektor kan pressa ned priser inom valfrihetssystem med bred uppslutning samtidigt som det är viktigt att ta hänsyn till de mindre utfärdarna. Anbud på ramavtal från konkurrerande privata aktörer kan pressa ned priser för underskrifttjänst och vid behov även e-legitimering. Tillitsramverket och andra centralt formulerade krav förenklar kravställningen vid upphandling av e-legitimering och e-legitimationer. Standardisering gör det enkelt att lägga till fler e-legitimationer, enkelt att byta systemintegratör och förenklar kravställningen på e-underskrifter.

19(43) 6.3 Nämndens prioriterade åtgärder i förhållande till den tidigare modellen Översikt över vilka förändringar som behöver införas i förhållande till den tidigare modellen. Prio 1 betyder att aktiviteten behöver göras under 2017 och prio 2 något senare. Modellen för Svensk e-legitimation Modellen i denna rapport Prio Centrala tjänster metadatatjänst och anvisningstjänst. En central metadatatjänst införs för att säkerställa kommunikationen mellan förlitande parter och leverantörer av identitetsintyg, och för att underlätta det svenska införandet av eidas. Långsiktigt innehåll i metadatatjänsten behöver beskrivas bl.a. med tanke på fler möjliga avtalsformer och privata förlitande parter. Stöd till digitala tjänsters listor över inloggningssätt (anvisningstjänst) kan övervägas om behov finns. 1 2 Valfrihetssystem upphandlingsform för e- legitimering Specificera krav och ta fram de valfrihetssystem som behövs för att täcka behoven från 2018. Fortsatt ramavtalsupphandling för underskrifttjänst. 1 Tekniskt ramverk krav på kommunikationen mellan förlitande parter och leverantörer av identitetsintyg vid e- legitimering Behålls och kompletteras med förutsättningar från eidasregelverket. Vidareutvecklas i takt med behov. Överväg över tid att inkludera flera tekniska metoder. 1 2 2 Tillitsramverket krav på granskning av hela livscykeln för e- legitimationer för att uppnå viss tillitsnivå (2, 3 och 4) Behålls och granskningar fortsätter. Vidareutvecklas i takt med behov. Fokusera på att skapa tilltro till granskningen. Regler för nyanlända med en säker kedja av samordningsnummer (oavsett fastställd identitet ) men säkrad biometri läggs till på tillitsnivå 2 och 3. 1 2 2

20(43) Modellen för Svensk e-legitimation Modellen i denna rapport Prio Regelverk krav och avtalsförhållanden mellan parterna Behoven pekar på att det är önskvärt att flera leverantörer kan leverera identitetsintyg för en och samma e-legitimation. Det ska vara frivilligt för förlitande parter om de vill ingå i den centrala metadatatjänsten med avseende på befintliga e- legitimationer, eller inte. Det bör eventuellt bli obligatoriskt för statliga myndigheter över en viss volym att via valfrihetssystem avtala om e- legitimering kopplad till nya e-legitimationer (om sådant valfrihetssystem finns). eidas-trafiken och trafiken från nya e-legitimationer i nämndens avtal ska följa nämndens tekniska ramverk och huvudsakligen styras med stöd av den centrala metadatatjänsten. Exakt hur det blir med trafiken baserat på befintliga e-legitimationer återstår att beskriva och förhandla om. Regelverket vidareutvecklas över tid. 1 1 1 1 2 Prismodell upphandlande myndigheters priser för e- legitimering Ytterligare analys behöver göras. Viktigt att ta hänsyn till önskemålet om pris per transaktion. Nämndens verksamhet ska inte vara självkostnadsfinansierad. 1 Nämndens centrala intygskonverteringstjänst tänkt att konvertera från andra tekniska metoder till SAML-metoden enligt nämndens tekniska ramverk Utgår. Konvertering bör av flera skäl tillhandahållas av flera leverantörer av identitetsintyg, och inte som en central offentlig tjänst. Den tidigare tjänsten hade varit motiverad om befintliga e-legitimationer tack vare det skulle kommit med i det gamla valfrihetssystemet. N/A

21(43) 6.4 Avtal om e-legitimering och e-underskrifter 6.4.1 Avtal om e-legitimering Nämndens ställningstagande: är att det behövs valfrihetssystem (enligt Lag (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering) för elektronisk identifiering för att täcka användarnas behov av att med en och samma e-legitimation kunna logga in i alla upphandlande myndigheters e-tjänster. Det kan eventuellt finnas behov av att göra valfrihetssystem som inkluderar nya godkända e-legitimationer obligatoriskt för statliga myndigheter som har hög total inloggningsvolym. Det tidigare valfrihetssystemet hade upplägget one size fits all och det upplägget räckte inte till för att lösa avtalssituationen som rådde vid ingången av 2016. De nya e- legitimationsutfärdarna hade inte hunnit tillräckligt långt och de befintliga e- legitimationsutfärdarna fick inte sina behov tillgodosedda tillräckligt för att vilja ansöka och skriva avtal i tid. Nämndens uppfattning är att valfrihetssystem som upphandlingsform är bra för att värna om användarnas möjlighet att med sin e-legitimation kunna logga in i så många tjänster som möjligt. Det är användaren av en e-legitimations valfrihet som värnas och avtalet är enkelt för upphandlande myndigheter att teckna. Priset är på förhand givet, men kan ändras under ordnade former. Nya e-legitimationsutfärdare kan anslutas löpande över tid. Valfrihetssystemet eid 2016 Övergångstjänst har fallit väl ut. De tre BankID-bankerna och Telia som fanns på äldre avtal har skrivit avtal om eid 2016 Övergångstjänst. Ett trettiotal upphandlande myndigheter likaså, varav några stora. Avtalet är tidsbegränsat och bör ersättas av ett nytt valfrihetssystem med liknande villkor. I den rådande situationen våren 2016 var det bra att Kammarkollegiet möjliggjorde avrop av e-legitimering och e-underskrifter på ramavtal. Inget hindrar att upphandlande myndigheter ligger kvar med sina avrop och erbjuder sina användare BankID, Mobilt BankID och Telia som inloggningsmetoder. Nya e-legitimationsutfärdare finns snart på marknaden. Ett exempel är Gemalto, som tilldelats avtal med Skatteverket om att privatpersoner som skaffar id-kort hos Skatteverket från våren 2017 även ska få med en e-legitimation utfärdad av Gemalto baserad på Skatteverkets grundidentifiering av personen i fråga. Nämnden anser att det måste finnas valfrihetssystem för nya e-legitimationsutfärdare. Det är ett viktigt intresse för samhället att det finns välanvända e-legitimationsalternativ.

22(43) Annars är risken att användare med nya e-legitimationer inte kan logga in i tillräckligt många tjänster och att incitamentet att göra något riktigt bra för användarna därmed ebbar ut över tid. Valfrihetssystem ska precis som tidigare inkludera både privata och offentliga e- legitimationsutfärdare, vilket möjliggör avtal även för de förlitande parter som tar emot inloggningar i tjänsten, exempelvis när en tjänsteman med Huddinge kommuns e- legitimation ska logga in hos en statlig myndighet i tjänsten. Kraven ska precis som tidigare vara att e-legitimationsutfärdaren är godkänd enligt det svenska tillitsramverket och följer nämndens tekniska ramverk. Ersättningsmodellen behöver utformas noga och hänsyn tas till både uttalade behov och tidigare erfarenheter. Många vill ha en modell med pris per transaktion. 6.4.2 Avtal om e-underskrifter Nämndens rekommendation: är att kommuner och myndigheter vid behov av elektroniska underskrifter i första hand bör fortsätta göra som idag: att erbjuda sina målgrupper underskriftsmöjlighet i de digitala tjänsterna (e-tjänsterna). Nämnden rekommenderar upphandlande myndigheter att i första hand avropa de underskrifttjänster som följer nämndens normativa specifikation och är granskade av nämnden, och att säkra den civil- och straffrättsliga ansvarskedjan ordentligt genom avtal och intyg. Elektroniska underskrifter betraktas som ett relativt svårt område av många offentliga myndigheter och det är därför ett område där det är effektivt att nå samsyn. Den statliga organisationen esam, med hemvist hos Pensionsmyndigheten, arbetar med att ta fram en rättsligt inriktad vägledning för upphandlande myndigheter med behov av e- underskrifter. E-legitimationsnämnden har regeringens uppdrag att stödja kommuner och myndigheter med behov av e-underskrifter och tillhandahåller en normativ specifikation och ett granskningsförfarande för underskrifttjänster. Post- och telestyrelsen är tillsynsmyndighet för e-underskrifter och andra betrodda tjänster enligt eidas. Det finns idag två typer av underskrifttjänster som kan användas i e-tjänster; a) de som är oberoende av e-legitimationens tekniska förutsättningar och b) de som är beroende av hur e-legitimationstjänsten är utformad. eidas regelverk om betrodda tjänster kräver inte att användaren befinner sig i en e- tjänst. Användaren kan sitta i sin datormiljö med sitt dokument, och skriva under det. Därefter skickas det elektroniskt underskrivna dokumentet in. I vissa flöden passar detta förfarande bäst, men det är bra att veta att eidas tillåter många olika underskriftformat.

23(43) Offentliga myndigheter som saknar författningsstöd om form för uppgiftslämnande och hanterar svenska e-underskrifter är enligt lag skyldiga att acceptera e-underskrifter som följer eidas regelverk under förutsättning att det finns en kostnadsfri valideringstjänst. Enligt lag får en underskrift inte avvisas enbart baserat på det faktum att den är elektronisk. Nämndens rekommendation till kommuner och myndigheter är därför att först överväga om det alls behövs e-underskrifter och att om så är fallet använda en avropad underskrifttjänst i första hand och därmed minska risken för att stora volymer måste hanteras på ett resurskrävande sätt. Det pågår ett internationellt arbete där fler länder avser att följa Sveriges exempel. Motiven är att den avropade underskriften är oberoende av e-legitimationens tekniska lösning och oberoende av eidas alla olika underskriftsformat, samt underlättar effektiv hantering av strukturerad information. Dessutom blir underskriftskedjan rättsligt mer korrekt när e-legitimeringen görs inom federationen i kombination med underskriftstjänsten. Underskrifttjänsten kan avropas på Kammarkollegiets ramavtal (PT 14) eller upphandlas med en hänvisning till E- legitimationsnämndens normativa specifikation. 6.5 Tillit och säkerhet 6.5.1 Granskning av e-legitimationer skapar tillit Nämndens bedömning: är att konceptet med att granska svenska e-legitimationer är brett förankrad och att arbetet med detta bör fortsätta. Nämndens tillitsramverk bygger på internationell standard och andra internationella framtagna ramverk. Granskning av e-legitimationer underlättar för myndigheterna både i sin kravställning vid upphandling och kontroll av kravuppfyllnad. Inte minst är arbetet viktigt för att regeringen ska veta vilka e-legitimationer som uppfyller kraven för användning utomlands enligt eidas-regelverket. Det svenska tillitsramverket togs fram innan EU:s tillitsramverk inom eidas fanns och utgjorde Sveriges ståndpunkt i EU-arbetet. EU lade sig dock på en något lägre högsta tillitsnivå än Sverige, vilket med facit i hand eventuellt kommer att visa sig vara bra eftersom det därmed finns en säkerhetsventil för svenska offentliga myndigheter som i framtiden eventuellt har tjänster med behov av den högsta tillitsnivån. Nämndens tillitsramverk behöver utvecklas över tid. Ett exempel på det är när internationell standard utvecklas, nya risker tillkommer, och om samsyn om regler för nyanlända utan fastställd identitet kan nås. Nämnden har uppfattat att det finns förslag från aktörer på att införa tillsyn inom området och detta förslag kan behöva utredas

24(43) vidare. Granskning av komponenter kan bli aktuell att införa. Det kan också finnas behov att se över rollfördelning för bl.a. granskningsprocess och reglering. 6.5.2 Standardiserad trafik gör det säkrare och enklare Nämndens bedömning: är att staten bör fortsätta verka för standardisering genom att någon part tillhandahåller tekniska specifikationer som är byggda på väletablerad standard. Nämnden har i uppdrag från regeringen (Förordning (2010:1497) med instruktion för E- legitimationsnämnden) att bidra till standardisering inom sitt område. Nämndens nuvarande tekniska specifikationer bygger på den brett förankrade internationella standarden (SAML 2.0). Översynen av nämndens tekniska specifikationer som gjordes bl.a. med anledning av rapporten från Myndigheten för samhällsskydd och beredskap 2014 ledde till undanröjande av potentiella säkerhetsbrister, bl.a. genom att kryptering av begäran om identitetsintyg infördes som krav. De nya e-legitimationsutfärdare nämnden fört dialog med, och det stora flertalet kommuner och myndigheter, anser att nämndens tekniska specifikationer är den bästa lösningen. Det står dock klart efter lång förhandling att bankerna inte kommer leverera enligt nämndens tekniska specifikationer. Det stora flertalet kommuner och myndigheter behöver därför avtal om konvertering, alternativt ha egen konverteringsförmåga. På så sätt kan BankID (och Telia) även fortsättningsvis användas i offentlig sektors tjänster Nämndens tekniska specifikationer är numera brett förankrade och genomlysta och därmed säkrare än andra för nämnden kända SAML 2.0-implementioner. Ingen myndighet eller kommun hade heller (enligt nämndens enkät 2016) invändningar mot att använda nämndens tekniska specifikationer för eidas. Nämnden rekommenderar därför att leverantörer och förlitande parter följer nämndens tekniska specifikationer för e- legitimationstrafik och den normativa specifikation för underskrifttjänst som nämnden tillhandahåller. Det är således klokt att samordna offentliga myndigheter så att alla följer (och ställer krav på) en och samma tillämpning av standard och samtidigt tänka på att inte införa onödigt komplexa regelverk. Vid behov kan nämnden se över om de tekniska specifikationerna ska kompletteras med ytterligare metoder. Ett annat område att adressera är standardisering av de bastjänster (attributtjänster) som behövs i samband med auktorisering av användare. Hur ansvaret är fördelat och löst (genom t.ex. federationer som SAMBI inom vården, och SWAMID och Skolfederation.se inom utbildning), samt vilka övriga behov som finns kvar att lösa, behöver också beskrivas.

25(43) 6.6 Ny svensk nationell identitetsfederation Nämndens ställningstagande: är att införa en säker nationell identitetsfederation. Huruvida företag (med egna avtal) kan ingå som förlitande parter i samma federation kommer särskilt att beaktas. Den tidigare planerade identitetsfederationen lades ned när valfrihetssystemet för Svensk e-legitimation skulle ses över. Det har visat sig att en central metadatatjänst är en mycket viktig komponent för kommuner och myndigheter. Arkitekturgruppen inom samverkansprogrammet esam har under regeringsuppdragets gång betonat betydelsen för kommuner och myndigheter med en säker gemensam metadatatjänst. Införandet av eidas underlättas också av en brett fungerande metadatatjänst som håller reda på styrande information. Förlitande parter som vill vara med i den nationella identitetsfederationen och kan visa upp ett avtal som är relevant (oavsett om det är avtal inom ett valfrihetssystem eller avropsavtal från annan upphandling) ska om möjligt beredas möjlighet att vara med i metadatatjänsten. Leverantörer av identitetsintyg och attributleverantörer kan vara privata eller offentliga och behöver också visa upp avtal eller motsvarande. Vissa tester inom federationen och någon typ av godkännande kan komma att krävas, det återstår att beskriva.

26(43) Nämnden kommer därför att arbeta efter följande bild: Leverantörer av identitetsintyg Nya e-legitimationsutfärdare Exempel på förlitande part Bolagsverkets avropade underskriftstjänst Leverantör av Identitetsintyg Befintliga e-leg med marknadstäckning Andra förlitande parter med relevanta avtal Metadata Leverantör av Identitetsintyg Deras avropade underskriftstjänster Attributleverantör Lev. av Id-intyg eidas Leverantör av Identitetsintyg Leverantörer av identitetsintyg Nya e-legutfärdare off. tjänstemän Figur: översikt över den kommande nationella identitetsfederationen.

27(43) 6.7 Fortsatt arbete med nästa steg Aktiviteter inom ramen för nämndens fortsatta arbete är bl.a. att: Se över vilken upphandlingslösning som passar för vad. Ta fram de valfrihetssystem som tillsammans med avrop på Kammarkollegiets nuvarande eller framtida ramavtal täcker upphandlande användarnas, myndigheters, utfärdarnas och leverantörerna av identitetsintygs (IdP:ernas) behov av e-legitimering och e-underskrift i upphandlande myndigheters tjänster Utforma ersättningsmodeller till valfrihetssystemen. Analysera om det behövs justeringar av det tekniska ramverket. Realisera federationens centrala metadatatjänst Kommunicera och ta fram beskrivningar som underlättar korrekt upphandling av e-legitimering och e- underskrift. Arbetet inkluderar utvärdering av alternativa avtalstider, ansvarsfrågor och övriga analyser som behöver genomföras. Dessutom ingår fortsatt utredning av modellen i sin helhet och konkretisering av rekommendationer lämnade till regeringen i denna rapport.

28(43) 7 På längre sikt Framtidens säkra e-legitimationer vilar på byggstenar som hänger ihop och kan förstärka varandra. Figur 3: byggstenar för att skapa säkrare e-legitimationer Att fylla byggstenarna med rätt innehåll bidrar till en god och robust infrastruktur som bas för digitaliseringen. Statens ansvar inom området behöver öka något för att stärka medborgarna, näringslivet och samhället. Under analysarbetet har möjligheter och hinder utanför nämndens uppdrag identifierats. Nämnden vill därför ta tillfället i akt och skicka med följande rekommendationer och bedömningar.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss