Jan Bergström 2015-08-29 S:t Eriksgatan 48 112 34 Stckhlm 08-6505553 070-7559494 (GSM) janbm70@gmail.cm Näringsdepartementet Remissvar eidas Vad är direktivet/eidas? en beskrivning av en teknisk maskin, en natinell PKI betrddhetsserver Jag har tidigare utgått ifrån att det finns ett plitiskt mtstånd mt genmförandet av digitala signaturdirektivet 1999/93/EG de senaste 16 åren ch nu digitala signaturförrdningen 910/2014. Att varje gång de senaste åren jag klagat på att digitala signaturdirektivet inte är genmfört svarar departementet att det är genmfört i en lag. Ett svar sm i allmänhet betraktats sm ett skämtsamt sätt att vara undflyende svar på ett dåligt plitiskt ställningstagande, genmförandet finns ju inte rent tekniskt att tillgå. Jag kan ju inte maila departementet med en digital signatur sm verifierar ursprunget? I strt sett hela IT-marknaden har felaktigt betraktat situatinen sm krrupt. Sanningen är att departementet inte förstått direktivets ch förrdningens innehåll ch inte följt en svenska knstitutinen. Detta till strt förtret för hela samhället sm i 16 år inte haft tillgång till en natinell digital signaturinfrastruktur av str eknmisk ch praktisk betydelse för såväl den enskilde, näringslivet sm för myndigheterna. Digitala signaturdirektivet 1999/93/EG de senaste 16 åren ch nu digitala signaturförrdningen 910/2014 handlar m en väldigt viktig allmän samhällsservice för den enskilde, näringslivet ch statens myndighetsutövning för att kunna bygga säkra applikatiner för användare av alla dess slag i samhället. För att kunna tillhandahålla tjänster sm är möjliga utan. Någt sm förnekats samhället i 16 år. Se ex digital signatur på Wikipedia.se. Digitala signaturdirektivet handlar m beskrivningen av en teknisk maskin, en natinell PKI digital signatur trustserver dit alla digitala signaturperatörer frivilligt kan anslutna sig till. Detta för att åstadkmma en natinell digital signaturenhet där vem sm helst inm Sverige kan sända ett signerat dkument eller email ch berende av vilken digital signaturperatör parterna har kan dkumentet/emailets ursprung säkerställas. Att avsändarens PKI certifikat är genuina, att mmsdirektivets artikel 233 m ursprungsmärkning av elektrniska fakturr tekniskt är genmförbart. Det handlar m att skapa en natinell PKI digital signatur betrddhetsunin. Endast nivån för digital ursprungsmärkning är bligatrisk i digitala signaturdirektivet, anslutningen till natinella enheten är frivillig ch så ckså alla andra mer avancerade tillämpningsfrmer. Endast staten kan driva en natinell central PKI betrddhetstrust. Tekniskt sett finns inga prblem eftersm standarder i IT-branschen är klara ch fungerande sedan 1990-talet ch finns tillgängligt för alla datrtyper sedan dess för rutinmässig användning. Det enda sm hindrar infrastrukturen att finnas är avsaknaden av regeringens utnämnande av en myndighet för direktivets genmförande. Vi talar m infrastruktur mtsvarande betydelse sm email, webben, telenät sv av str betydelse för samhällets alla delar.
2 Digitala signaturförrdningen ersätter digitala signaturdirektivet men har samma innehåll, där dck krav på anslutning till EUs internatinella PKI digital signatur trustserver tillkmmit. Dit de natinella PKI digital signatur trustservrarna (ch inga andra) krävs anslutas till. Det finns ingen annan fungerande teknisk lösning. Detta för att åstadkmma en tekniskt fungerande Eurpeisk enhetlig digital signatur betrddhetsunin. Dvs digitala signaturer skall fungera berende av digital signaturperatör inm EU. Där sin datr skall ex kunna kntrllera genm att fråga sin peratör m en tysk avsändares certifikats genuinitet. Detta genm att peratörens maskin frågar den natinella trustservermaskinen sm frågar den internatinella sm frågar den tyska natinella trustservern sm frågar den lkala signaturperatören m genuinitet, med svar tillbaka. Ett av de huvudsakliga prblemen med genmförande av digitala signaturförrdningen i Sverige är att digitala signaturdirektivet inte är genmfört i Sverige. Man måste börja med att sätta upp den först. Det finns inget annat sätt att uppfylla digitala signaturförrdningen. Alla andra aspekter av direktivet/förrdningen är underrdnade frågr. Dck råder krav här på att det finns en natinell lösning för inlggning i myndigheternas web-infrmatinssystems privata sidr även med certifikat från utlandet inm ramen för betrddhetsuninen. Någt sm man löser genm att sätta upp en särskild digital signaturperatör för integratin med myndigheternas inlggningssystem, bara den allmänna betrddhetsuninen inm EU existerar ch fungerar. Däremt läser man eidas-pmet inser man att departementet de senaste 16 åren inte förstått vad varken digitala signaturdirektivet 1999/93/EG eller nu digitala signaturförrdningen 910/2014 handlar m. Departementet har uppfattningen att digitala signaturdirektivet 1999/93/EG de senaste 16 åren ch nu digitala signaturförrdningen 910/2014 handlar m krav på granskning av natinella digitala signaturperatörer. Detta av någn slags allmän säkerhetsiver (sm ingen kunna förklara) för att försörja myndigheter i sina prblem med säker inlggning i sina publika web-infrmatinssystems persnliga sidr (sm då inte skulle kunna ställas i upphandlingen, trts direktivet/förrdningens existens). När lösningen på myndigheternas lginprblem till sina publika web-tjänsters persnliga delar är till 90% avhängigt att digitala signaturdirektivet/förrdningen genmförs genm att knstitutinsenligt en myndighet utnämns att genmföra dem. All aktivitet myndigheterna visat hittills, har handlat m att hitta alternativa vägar då det inte är accepterat inm myndigheterna att förklara att departementet inte förstått direktivets innehåll. Jag är inte myndighet ch kan uttrycka det ch jag kan klaga till EU-kmmissinen m jag finner det nödvändigt. Resten löser myndigheterna genm att sätta upp en egen för ändamålet anpassad digital signaturperatör vars system är kpplad till myndigheternas inlggningssystem enligt deras överenskmmelse ch ansluten till den natinella PKI-trusten. Trligtvis är skälet till att departementet i 16 år inte förstått direktivets innehåll att: Man saknar intern teknisk kmptens inm teknikmrådet Varken departementet eller någn myndighet har deltagit i EU-arbetsgrupper för digitala signaturer ch inhämtat kunskapen m vad digitala signaturer handlar m.
3 Ingen myndighet är avdelad ansvarig att svara för statens intressen i digitala signaturfrågr, sm infrmerar departementet m sakfrågrna ch bevakar EU-kmmittéerna. Vkabulären i EU-dkument är svårtydliga då de sällan beskriver direkt vad sm avses utan runt mkring. Vad det handlar m anses givet av EU då man förutsätter deltagande i kmmittéarbetet, men deltagande har inte fallet varit här. Vkabulären inm PKI ex begrepp sm certifiering är snarlika juridiska begrepp sm gör att man kan tr det handlar m juridiska texter m digitala signaturperatörer ch inte tekniska system där man kntrllerar betrddheten hs en avsändare. Man har inte följt knstitutinen ch regeringen har försökt detaljstyra verkställigheten av direktivet själv, istället för att sm knstitutinen kräver utnämna en myndighet med det ansvaret. Det är myndigheter sm arbetar med verkställighetsfrågr av lagar ch direktiv ch skall regelverk skrivas skall de vara myndighetsföreskrifter ch inte lagar. Departementet har haft väldigt svårt att få mgivningen att förstå sin tlkning av direktivet (sm uppriktigt sagt är nnsens), få förankring för sin syn ch kritik når/vågar inte fram, vilket gör det svårt att verka. Så allt fastnar i intet. Jag hppas att departementet följer knstitutinens rättelsekrav (RF1:9) ch mgående genmför eidas på ett krrekt sätt. Utser en myndighet (SKV) att verkställa direktivet sm är jämställt svensk lag. Säkerställa att myndigheten får regleringsbrev att deltaga i EUs digitala signatursamarbete i lika arbetsgrupper ch sammankmster. Verkställighet eller lagstiftningsuppdrag? EU hävdar att dess direktiv ch förrdningar är jämställda med natinell lag ch det lär redan finnas prejudikat i EU-dmstlen på detta. Om inte annat måste den av mig i andra sammanhang kända EU-dmen C-479-10 tlkas sm att EU-kmmissinens syn gäller. Det är alltså ingen situatin sm kräver någn ytterligare natinell lagstiftning för sin giltighet. Det är en ren verkställighetsfråga. I Sverige (ch Finland) är regeringsmakten ch staten (verkställighetsmakten) skilda vilket är unikt i Eurpa. I alla andra länder ansvarar departementet ch ministern för direktiven ch förrdningarnas verkställighet (där det då inte heller handlar m lagstiftning). I Sverige ch Finland är regeringen (departementet) förbjuden enligt knstitutinen att bedriva ministerstyre (RF 12:2 h 12:3) ch innehar enbart utnämningsmakten ch skyldigheten att tillhandahålla resurser (regleringsbrev) för sakens verkställande. Krt sagt det är en ren fråga m att utse en lämplig myndighet. Dessutm skall ev behv av förändringar av lagstiftningen initieras av den ansvariga myndigheten ch inte departementet eftersm myndigheten besitter sakkunskapen ch erfarenheten. Departementet har ingen knstitutinell befgenhet att handlägga ärendet ytterligare. Möjligen i sin krrigeringsprcess lägga fram prpsitin m att Lag (2000:832) m kvalificerade elektrniska signaturer upphör mgående. Detta då m det krävs en sådan reglering vid sidan av EUs digitala signaturförrdning skall det utfärdas sm myndighetsdirektiv vilket är den nrmala gången i tillämpningsfrågr i Sverige. Städarbete av lagstiftning är berende av verkställigheten. Primärt finns ett behv att alla uppgifter i lagtexter m underteckning/signatur uttrycks på ett tekniskt frmberende sätt i all lagstiftning ch liknade.
4 Vem sm bör ansvara för arbetet? Eftersm SKV handhar frågrna m identiteter i Sverige ch IDkrten är SKV den abslut mest lämpliga myndigheten för uppdraget. Man bör göra utnämnandet snarast ch därför i uppdraget inkludera ansvaret för digitala signaturdirektivet sm gäller till 2015-12-31. Hur arbetet bör läggas upp I utnämningen av myndigheten för ansvaret av digitala signaturförrdningens genmförande ch utfärdandet av regleringsbrevet kan regeringen utfrma en uppdragsbeskrivning till myndigheten 1. Kstnaderna för genmförande digitala signaturdirektivet 1999/93/EG ch nu digitala signaturförrdningen 910/2014 bör av staten ses sm en central kmpnent att ratinalisera statens egen administratin ch därför finansieras direkt genm budgetanslag ch inte genm avgifter. Det är i statens intresse att detta tillämpas snarast. 2. 2017-01-01 måste anses vara ett lämpligt krav m senaste driftstart av den grundläggande infrastrukturen. Upprättandet av en natinell PKI digital signaturserver. En betrddhetsgemenskap sm är frivillig för digitala signaturperatörer att ansluta sig till ch utöver frågan m kntrll av digitala dkuments utfärdares certifikats genuinitet, är funktinsnivån frivillig. I uppdraget ingår att bevaka de legala mständigheterna av utgångspunkten av den natinella digitala signatur betrddhetsuninen ch vilka myndighetsföreskrifter sm måste kmplettera EUs digitala signaturföreskrift. I uppdraget ingår att kmmunicera med departementet ch EUs arbetsgrupper i frågan. 3. Myndigheten ansvarig för ID-krt (SKV) bör i ett separat uppdrag bör anmdas att förse de natinella IDkrt sm utfärdas med PKI digitala signatur-kmpatibla chip för bärande av PKI certifikat. Krten bör innehålla ett generellt PKI ID-certifikat utfärdat av staten För detta certifikat måste man sätta upp en egen digital signaturperatör ch den bör enligt regeringsuppdraget vara ansluten till den natinella trustservern (2). Inga avgifter för identifieringar av det generella ID-krtcertifikaten skall uttas av tredje part sm önskar verifiering. Skall ses sm statens generella tillhandahållande av säker infrastruktur ch säkerställa överlägsenhet ch stöd för legal beskattad handel ch transparent skatte ch eknmiredvisning. Krten skall medge (genm en betrdd prcedur av tredje partsleverantörer) att kunna bära andra PKI certifikat för andra ändamål. Detta för att en PKI HWinfrastruktur skall tillhandahållas även för behven för SME ch privatpersner, vilket är EU-krav. Krten skall ckså kunna bära ytterligare data såsmför bimetrisk kntrll sm kan tillämpas även
5 på frivillig grund vid beställningar från lika rganisatiner/företag, ex för tjänstelegitimatiner. Krten skall inte överdebiteras, utfärdas av staten till självkstandspris + gängse vinstmarginal 20% såsm en del av statens behv. De skall inte finansiera tjänstemannainfrastrukturen på myndigheten. Regeringen bör ckså ge myndigheten i uppdrag att säkerställa att: Svenska ID-krt är säkert Schengen-kmpatibla ch säkra att använda för resa inm Schengenmrådet Att Schengen-specifikatinen för ID-krt uppdateras genm förhandlingar av myndigheten (det är alltid myndigheter sm skall förhandla tillämpningsfrågr) med EU-kmmissinen: En rad krav idag saknar relevans eftersm Strbritannien sm traditinellt saknat persnnummer ch ID-krt, är inte är med i Schengen. Endast nödvändiga uppgifter för identifiering i Schengen-registret behövs. Krtens tillämpning i dagens tekniknivå bör utgå ifrån att det finns mbila krtläsare för läsning av krten, vid ex ID-kntrller av plis. Nya data bör tillföras krten då det tekniskt är billigt att ex tillämpa fingeravtrycksläsning ch det uppenbart är prblem med ren bildidentifiering ch bild-id-bedrägerier förekmmer. Ökad layutmässig samstämmighet inm EU för underlättande av läsning av utländska krt Körkrtskravet bör avskaffas natinellt ch ersättas med krav på id-krt (gammalt ratinaliseringskrav). Staten skall utrusta varje plis med mbil IDkrtläsare sm är ansluten till körkrtsregistret. Frågan m EU-gemenskapligt avskaffande av körkrtskravet ch ersättande med IDkrtkrav bör förhandlas fram av myndigheten. Körkrten bör framställas av staten på samma tekniska grund sm ID-krten ch ha samma status. 4. Utfärdande av natinella ID-krt skall kunna ske av tredje partleverantör enligt ett myndighetsföreskriftregelverk. Ex skall banker såsm i Nrge ges möjligheten att förse bankernas bankkntkrt med natinellt PKI digital signaturkmpatibla ID-krt på kntkrtets baksida. För reglering ch kntrll av verksamheten bör en myndighet utses sm ansvarig myndighet (förslagsvis PTS sm reglerar liknade fall) med regleringsbrev för verksamheten. Myndigheten bör ckså ansvara för att staten inklusive kmmunerna genm ffentlighetsprincipen tillhandahåller alla de digitala dkument sm kan vara publikt tillgängliga ch sökbara genm webben. (En del av regeringens IT-handlingsplan.) Den enskilde skall primärt klaga på bristande service hit. Även körkrt skall kunna utfärdas av myndigheten gdkända tredjepart-leverantörer.
6 5. En myndighet, förslagsvis samma sm (2) bör i ett separat uppdrag ges i uppdrag att ansvara för samrdningen av svenska myndigheter, dmstlars ch kmmuners behv av säkra gemensamma metder för inlggning på web-platser med publik service för den enskilde. Regeringen bör besluta att inlggningsmetden bör vara gemensam för hela statens publika service via web-tjänster. Prjektet bör ckså få i uppdrag att utarbeta rutiner för säkerhetsnivåer för lika typer av persnliga data där ingen överdriven säkerhet skall medföra att tillgängligheten på data försvåras. Prjektet bör ckså ansvara för hur staten säkerställer digitala identiteter i dkument ch email sm kmmer in till staten (staten inkl kmmuner ch dmstlar). Prjektet bör ckså ansvara för plicy för hur staten själva tillämpar digitala signaturer för de dkument ch email sm man ger ut. 6. En myndighet, förslagsvis samma sm (2) bör i ett separat uppdrag ges i uppdrag att ansvara för samrdningen av svenska myndigheter, dmstlars ch kmmuners behv av säkra gemensamma metder för intern tjänstemannainlggning i standardmyndigheternas interna datrnätverk, utbyte av infrmatin dem emellan ch hur myndigheterna samarbete skall gå till (FL 4-7 ). Tillämpningen skall vara frivillig för myndigheter ch ses sm en servicefunktin. Myndigheter med större säkerhetskrav (såsm ex militären) skall kunna ha egna lösningar/ varianter av denna lösning, men minst möta upp till de gemensamma kraven. 7. En myndighet förslagsvis SKV sm har den mfattande arbetsgivare ch mmsredvisningsverksamheten bör ges i uppdrag att säkerställa att juridiska persners all myndighetsrapprtering skall kunna ske i digital frm med den juridiska persnens digitala identitet (ex redvisningsbyråns mbudsrapprting). Att säkerställa att myndigheten ansvarande för (2) ckså skall säkerställa kravet att digitala identiteter för juridiska persner fungerar, enkelt kan tillämpas. Att digitala signaturer fungerar ex email, elektrniska fakturr (artikel 233 i mmsdirektivet), eskd, INK, reviderade bkslut ch försäkringskassan skall fungera. Hur juridiska persner digitala signaturer skall tillämpas. Hur skall ansvarig ägare av den juridiska identiteten kunna fördela ch ta brt betrddhet att signera den juridiska identiteten, på fysiska individer ex anställda. 8. En myndighet förslagsvis SKV sm redan idag ställer kraven på genuinitet på bkföringsverifikatiner i skattekntrllfrågr bör ges ansvaret att med klarhet definiera en gemensam syn från staten vad en riginalhandling är i en värld av digitala handläggningsstödsystem. Den enskilde har rätt att få riginalhandlingen ch är den digital skall den mailas av myndigheter digitalt till den enskilde. Bkföringsnämnden har liknande men inte samma krav idag, andra är förvirrade, ett betydande prblem
7 Frågan har str betydelse för elektrniska reskntrr för alla företag ch inte minst för staten ch kmmuner BFN, BV, E-legitimatinsnämnden ch SKV har till stra delar arbete med register med samma innehåll, frmkrav på samma data ch rapprteringskrav av samma data i lika frm. Myndigheterna bör slås samman Gemensam registrering, frmkrav ch rapprtering bör genmföras. 9. Med anledning av regeringens IT-handlingsplan, behvet av lkal kunskap ch digitala signaturers väldigt stra ratinaliseringsptential i myndighetsutövning, skall varje statlig myndighet, kmmun ch dmstlsverket för dmstlarna ha en metdstabsfunktin (ch medges regleringsbrev för) sm ansvarar för: Öka tillämpbarheten ch införande av digitala signaturer i verksamheten. Arbetsstudier, arbetsutvecklingsarbete ch tekniskt införande av datriserade handläggningsstödsystem genmförs på myndigheten Särskilt fkus på repetitiva arbeten, vilket är vanligt i myndighetsutövning Särskilt fkus på krta ner handläggningstider ch ärendebalanser, det klagas fn allmänt Särskilt fkus på att alla ärenden registreras ch alltid har en ansvarig handläggare, att de handläggs ch handläggs säkert intill preskriptinstiden. Det slarvas fta. Ansvara för att rättelser av legala ch andra fel medelbart krrigeras även m ärendet överklagats. (Staten är felfri ch begår inga fel, bara tjänstemän ch de skall krrigeras utan fördröjning (RF1:9).) Fungerar riktigt dålig fn. Framtagande av arbetsrutiner för lika vanliga ärendetyper till stöd för handläggarna Säkerställa lika handläggning för mtsvarande ärenden, klagas allmänt fn Säkerställa att myndigheten ffentligt tillhandahåller digitaliserad myndighetsinfrmatin sm är öppen enligt ffentlighetsprincipen på sin web-infrmatinsservice. Säkerställa att enhetens ffentlighet ch sekretess är förenlig med gällande lag ch direktiv. Det finns betydande brister fn. Säkerställa att enheten samarbetar med andra myndigheter ch utbyter infrmatin i handläggningen. Detta är för svårt för handläggare idag. Deltar i statens gemensamma ratinaliseringsarbete ch digitala signatursamarbete. Rapprterar ch får uppdrag av enhetsledningen Vänligen Jan Bergström