Dir. 2022:142
Säker och tillgänglig digital identitet
Kommittédirektiv
Säker och tillgänglig digital identitet Beslut vid regeringssammanträde den 22 december 2022
Sammanfattning
En särskild utredare ska utreda och lämna förslag på hur staten kan utfärda en e-legitimation på högsta tillitsnivå. Utredaren ska också se över behovet av anpassningar som följer av den reviderade eIDAS-förordningen. Syftet är att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation.
Utredaren ska bl.a.
- lämna förslag på hur en kostnadseffektiv statlig e-legitimation på högsta
tillitsnivå kan utformas och tillhandahållas av en statlig myndighet,
- analysera och föreslå förändringar som följer av den reviderade eIDAS-
förordningen, och
- lämna nödvändiga författningsförslag. Uppdraget att föreslå hur staten kan utfärda en e-legitimation på högsta tillitsnivå ska delredovisas senast den 16 oktober 2023. Uppdraget ska slutredovisas senast den 31 maj 2024.
2 (8)
Säker och tillgänglig identifiering i ett digitaliserat samhälle
Den 3 juni 2021 presenterade Europeiska kommissionen ett förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (den reviderade eIDAS-förordningen), COM(2021) 281. Det föreslås bl.a. att det ska bli obligatoriskt för varje medlemsstat att anmäla en e-legitimation på den högsta tillitsnivån enligt ett förfarande för gränsöverskridande identifiering och att varje medlemsstat ska utfärda en europeisk digital identitetsplånbok. Tillitsnivån på e-legitimationen avgör hur tillförlitligt det är att personen som identifierar sig är den man utger sig för att vara. Plånboken ska möjliggöra för fysiska och juridiska personer att på ett säkert sätt bl.a. begära, erhålla, lagra och använda personidentifieringsuppgifter och digitala bevis för autentisering online och offline samt att skriva under med kvalificerade elektroniska underskrifter.
Den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till en e-legitimation. Det är därför viktigt att så många som möjligt ges möjlighet att skaffa en säker e-legitimation. En e-legitimation är i princip nödvändig för att få tillgång till viktiga digitala tjänster och samhällsfunktioner, t.ex. hantera bankärenden eller för att ha kontakt med det offentliga. E-legitimationer har också börjat användas för identifiering exempelvis via telefon eller vid besök. En e-legitimation är alltså viktig för att enskilda ska kunna nyttja samhällets digitala tjänster så att alla enskilda kan ta till vara sina intressen och medborgerliga rättigheter. Detta gäller även för personer som bara tillfälligt vistas i Sverige, exempelvis för arbete.
I dag är det endast privata aktörer som utfärdar e-legitimationer och staten har begränsade möjligheter till insyn och påverkan. Det finns även behov av att utreda alternativa lösningar för e-legitimation utifrån flera perspektiv, särskilt när det gäller säkerhet, redundans och tillgänglighet.
E-legitimationer utgör en samhällsviktig infrastruktur som behöver fungera också om samhället utsätts för en stor påfrestning och ytterst även i krig. Störningar i e-legitimationssystem kan snabbt få kännbara effekter för näringsliv, banker, offentlig sektor och inte minst för enskilda även under i övrigt normala förhållanden.
3 (8)
Uppdraget att föreslå hur staten kan utfärda en e-legitimation på högsta tillitsnivå
Förslagen i revisionen av eIDAS-förordningen ställer krav på medlemsstaterna att anmäla en e-legitimation på högsta tillitsnivå enligt ett särskilt anmälningsförfarande. En anmäld e-legitimation kan därefter användas i andra EU-länders e-tjänster.
Det är viktigt i ett digitalt samhälle att så många som möjligt ges möjlighet att identifiera sig. En säker elektronisk identifiering kan också bidra till att motverka den identitetsrelaterade brottsligheten. Med en säker grundidentifiering som görs av en myndighet vid ett personligt besök minskar risken för att fel person får tillgång till e-legitimationen. En utredning ska analysera vilka kontroller av identiteten som behöver vidtas och om omfattningen av kontrollen ska vara jämförbar med den kontroll som sker för andra identitetshandlingar.
Utgångspunkten är att utfärdande av e-legitimationer på den högsta tillitsnivån bör ske vid en statlig myndighet. En e-legitimation på högsta nivå kan användas för växling till en annan e-legitimation på samma nivå eller en e-legitimation på lägre nivå.
För att en e-legitimation ska kunna användas behövs en bakomliggande digital infrastruktur mot vilken e-legitimationen kan verifieras. En individ kan använda sin e-legitimation flera gånger om dagen. Infrastrukturen behöver därför hantera en stor mängd verifieringar. Myndigheten för digital förvaltning ansvarar för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift. Eftersom system för e-legitimationer och digital identifiering kräver särskild kompetens bör Myndigheten för digital förvaltning vara den myndighet som får ett eventuellt uppdrag att ta fram en statlig e-legitimation.
2017 års ID-kortsutredning föreslår i sitt betänkande Ett säkert statligt IDkort – med e-legitimation (SOU 2019:14) att staten ska utfärda en e-legitimation på högsta tillitsnivå. Syftet med förslaget är att ge alla invånare möjlighet att skaffa en säker e-legitimation för att de ska få tillgång till viktiga samhällsfunktioner. Vidare menar utredningen att en säker elektronisk identifiering motverkar den identitetsrelaterade brottsligheten.
Utredningen föreslår att en statlig e-legitimation ska finnas på det statliga identitetskort som enligt förslaget ska utfärdas av Polismyndigheten. Vidare
4 (8)
konstaterar utredningen att det inte är möjligt att uppskatta kostnaderna för bl.a. utveckling och förvaltning av e-legitimationen och lämnar inte heller förslag på en ersättningsmodell för utfärdande och användande av en e-legitimation. Utredningen konstaterade att det finns ett stort behov av alternativa lösningar för e-legitimationer.
Utredningens förslag bereds inom Regeringskansliet. Det är dock tidskrävande att ta fram ett kombinerat id-kort och e-legitimation. Förslagen i den reviderade eIDAS-förordningen i kombination med ett förändrat säkerhetsläge kan medföra vissa krav på skyndsamhet. Det kan därför finnas behov av en alternativ lösning för en e-legitimation på högsta nivå.
En ny utredning bör också analysera hur en e-legitimation kan utformas så att så många som möjligt kan få tillgång till den, exempelvis personer från andra länder som arbetar eller studerar i Sverige. Grupper som särskilt bör beaktas när förslagen utformas är bl.a. äldre och personer med funktionsnedsättning.
En statlig aktör som ansvarar för en e-legitimation kommer att behandla stora mängder personuppgifter om användarna. Det är därför viktigt att skyddet för den personliga integriteten beaktas, både utifrån bestämmelsen i 2 kap. 6 § andra stycket regeringsformen och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
En del svenska medborgare bor utomlands och utredaren behöver analysera om de ska ha rätt att få tillgång till en e-legitimation från utlandet. Om utredaren bedömer att det bör finnas en sådan möjlighet, ska utredaren föreslå hur ansvarig myndighet kan tillhandahålla den.
Slutligen bör utredningen ta ställning till om en e-legitimation på högsta tillitsnivå ska kunna användas för att framställa kvalificerade elektroniska underskrifter. eIDAS-förordningen skiljer på avancerad elektronisk underskrift och kvalificerad elektronisk underskrift. På den senare ställs det högre säkerhetskrav. De underskrifter som finns på den svenska marknaden i dag är framför allt avancerade elektroniska underskrifter medan det i resten av Europa är mer vanligt med kvalificerade underskrifter.
5 (8)
Myndigheten för digital förvaltning fick våren 2022 ett uppdrag att i samarbete med Polismyndigheten och Försäkringskassan föreslå hur en statlig e-legitimation kan utformas (I2022/0135). Uppdraget ska redovisas senast den 31 januari 2023. Utredningen ska i sitt arbete beakta förslagen och de synpunkter som framkommit inom ramen för regeringsuppdraget.
Utredaren ska därför
- lämna förslag på hur en kostnadseffektiv e-legitimation på tillitsnivå hög
enligt eIDAS-förordningen kan utformas och tillhandahållas av Myndigheten för digital förvaltning,
- lämna förslag på vilken eller vilka myndigheter som ska ansvara för
grundidentifieringen vid utfärdandet av en statlig e-legitimation och vilka kontroller av identitet som ska genomföras vid en sådan grundidentifiering,
- analysera om det bör ställas krav på förlitande parter som tillhandahåller
digitala tjänster inom offentlig sektor att acceptera alla e-legitimationsalternativ på marknaden förutsatt att de lever upp till den tillitsnivå som tjänsterna kräver,
- analysera om det för vissa grupper kan behövas särskilda lösningar för
att de ska kunna identifiera sig digitalt,
- analysera och beräkna kostnader för att ta fram och förvalta en
e-legitimation och lämna förslag på hur en ersättningsmodell kan utformas där bl.a. avgifter för att få tillgång till en e-legitimation ska övervägas,
- analysera om e-legitimationen ska kunna användas för att framställa
kvalificerade elektroniska underskrifter, och
- lämna nödvändiga författningsförslag.
Uppdraget att analysera och föreslå förändringar som följer av revisionen av eIDAS-förordningen
Om de föreslagna ändringarna i eIDAS-förordningen träder i kraft, innebär det att en rad nya krav måste mötas. Sverige måste exempelvis inrätta ett bedömningsorgan som har till uppdrag att certifiera e-legitimationslösningar som uppnår tillitsnivåerna i förordningen. Vidare ska valideringsmekanismer som säkerställer den digitala plånbokens äkthet införas. Medlemsstaterna kan också komma att behöva utarbeta processer för rapportering vid eventuell förlust och eventuellt missbruk av digitala plånböcker samt för återkallandet av sådana plånböcker. Vidare krävs det att medlemsstaterna inrättar ett organ
6 (8)
som ansvarar för register över förlitande parter, dvs. fysiska eller juridiska personer som förlitar sig på en elektronisk identifiering.
Enligt förslaget ska ett tillsynsorgan ansvara för frågor som berör tillhandahållare av kvalificerade och icke-kvalificerade betrodda tjänster. Organet ska undersöka om betrodda tjänsterna uppfyller kraven i eIDAS-förordningen och kraven i Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen och de krav som den pågående revideringen av det direktivet föranleder.
Medlemsstaterna behöver vidare inkludera en unik och bestående identifikationsbeteckning i minimiuppsättningen av personidentifieringsuppgifter för att kunna identifiera personen när identifiering krävs enligt lag.
De digitala plånböckerna ska enligt förslaget säkerställa att personidentifieringsuppgifter på ett unikt och beständigt sätt representerar den fysiska eller juridiska person som de är förbundna med. Plånböckerna ska tillhandahålla en mekanism som säkerställer att förlitande parter kan autentisera användaren och ta emot attributintyg. Det ska vidare säkerhetsställas att inte fler attribut än vad som är nödvändigt för tjänsten delas.
Myndigheten för digital förvaltning har i rapporten Digital plånbok (I2021/02470) föreslagit att svenska plånböcker ska utfärdas av en statlig myndighet och att även privata aktörer ska ges möjlighet till det. Syftet är att säkerställa att alla användare inkluderas, att systemet blir robust och att tillvarata innovation på området.
Utredaren ska därför
- utreda hur det kan säkerställas att en kostnadseffektiv digital
identitetsplånbok i enlighet med den reviderade eIDAS-förordningen ska utfärdas,
- utreda hur en sådan digital plånbok kan användas ändamålsenligt för
största möjliga nationella effektivitet och nytta,
- ta ställning till vilken myndighet som bör utses till tillsynsorgan med
ansvar för ett register över förlitande parter enligt kraven i den reviderade eIDAS-förordningen,
- analysera den slutgiltiga versionen av förordningen i sin helhet och ge
förslag på hur Sverige kan uppfylla tillkommande krav,
7 (8)
- föreslå de författningsändringar och andra åtgärder som krävs för att
den föreslagna myndigheten ska kunna vidta de åtgärder som åläggs den enligt förordningen, samt
- lämna de författningsförslag i övrigt som är nödvändiga eller annars
bedöms lämpliga för att komplettera förordningen.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna för myndigheter, regioner och kommuner av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för ovan nämnda aktörer, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt bedöma vilka organisatoriska och ekonomiska konsekvenser förslagen får för de myndigheter som berörs av förslagen. Utredaren ska också ange konsekvenser för enskilda och för företag i form av kostnader och ökade administrativa bördor samt om förslagen får några konsekvenser ur ett jämställdhetsperspektiv. Utredaren ska särskilt redovisa förslagens konsekvenser för den personliga integriteten och under arbetets gång göra en integritetsanalys. Utredaren ska också analysera eventuella risker för informationssäkerheten och risker med identitetsrelaterad brottslighet och redovisa konsekvenser för brottsbekämpningen och det brottsförebyggande arbetet.
Konsekvenserna ska redovisas enligt 14–15 a §§kommittéförordningen (1998:1474) samt 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Kontakter och redovisning av uppdraget
Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU, exempelvis Europeiska kommissionens förslag till förordning och direktiv om digitalisering av rättsligt samarbete.
Under genomförandet av uppdraget ska utredaren ha en dialog med och inhämta upplysningar från Ekobrottsmyndigheten, Finansinspektionen, Försvarsmakten, Försäkringskassan, Integritetsskyddsmyndigheten, Migrationsverket, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Riksarkivet, Skatteverket, Säkerhetspolisen, Polismyndigheten, Post- och telestyrelsen, näringslivet samt, i den utsträckning som utredaren finner det behövligt, andra organisationer och myndigheter.
8 (8)
Följande uppdrag ska redovisas senast den 16 oktober 2023:
- Uppdraget att föreslå hur staten kan utfärda en e-legitimation på
högsta tillitsnivå.
Följande uppdrag ska redovisas senast den 31 maj 2024:
- Uppdraget att analysera och föreslå förändringar som följer av
revisionen av eIDAS-förordningen.
(Infrastrukturdepartementet)