SOU 2017:114

reboot – omstart för den digitala förvaltningen

Till statsrådet Ardalan Shekarabi

Regeringen beslutade vid regeringssammanträde den 19 maj 2016 att uppdra åt en särskild utredare att analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster (dir. 2016:39). Tidigare generaldirektören Hans-Eric Holmqvist utsågs samma dag till utredare. Den 24 november 2016 beslutade regeringen i tilläggsdirektiv (dir. 2016:97) om att utredaren skulle analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet. Uppdraget redovisades i denna del den 15 mars 2017 i delbetänkandet digitalforvaltning.nu (SOU 2017:23).

Till experter i utredningen förordnades den 24 oktober 2016 kanslirådet Karina Aldén, Finansdepartementet, verksamhetsutvecklaren Emma Bohman, Transportstyrelsen, chefsstrategen digitalisering Lena Carlsson, Tillväxtverket, juristen Lena Carlsson, Datainspektionen, numera departementssekreteraren Veronica Eckerby, Finansdepartementet, tidigare kanslichefen vid E-legitimationsnämnden Eva Ekenberg, verksamhetsutvecklaren Anna Fors, Försäkringskassan, systemvetaren Ulrika Gani, Myndigheten för delaktighet, samordnaren digital samverkan Anders Granström, Arbetsförmedlingen, senior adviser Peter Göransson, Bankföreningen, filosofie doktorn Anneli Hagdahl, Finansdepartementet, utredaren Gabriella Jansson, Statskontoret, chefsjuristen Gustaf Johnssén, Statens servicecenter, experten offentlig digitalisering Anna Kelly, avdelningschefen Eva Lindblom, Ekonomistyrningsverket, kanslirådet Eva Lundbäck, Finansdepartementet, chefsarkitekten Peter Mannerhagen, Västerås stad, direktören Per Mosseby, Sveriges Kommuner och Landsting, CTO Valter Nordh, SUNET, CIO & avdelningschefen it Peder Sjölander, Pensionsmyndigheten, styrelseledamoten Åke Strandberg, Vårdföretagarna, verksamhets-

utvecklaren Magnus Wallström, Skatteverket, kanslirådet Lena Warstrand, Justitiedepartementet, handläggaren Carl Önne, Myndigheten för samhällsskydd och beredskap, arkitekten Mikael Österlund, eSam.

Anna Fors entledigades från uppdraget som expert från och med den 10 februari 2017 och från och med samma dag förordnades verksamhetsutvecklaren Markus Bill, Försäkringskassan och handläggaren Björn Scharin, Post- och telestyrelsen att vara experter i utredningen. Per Mosseby entledigades med verkan från den 1 maj 2017 från uppdraget som expert och från och med samma dag förordnades sektionschefen Åsa Zetterberg, Sveriges Kommuner och Landsting att vara expert i utredningen. Den 27 november 2017 entledigades Lena Warstrand från uppdraget att vara expert.

Experterna har bidragit med värdefulla synpunkter på textutkast och på förslagen i betänkandet. Utredningen vill rikta ett särskilt tack till Eva Sartorius, Anna Månsson Nyhlén och Ulf Palmgren för betydelsefulla bidrag till utredningens arbete.

Som huvudsekreterare i utredningen förordnades Christine Annemalm den 22 juni 2016, som sekreterare i utredningen förordnades Hanna Nilo den 19 augusti 2016, Michiko Muto den 12 september 2016 och Sofia Larsdotter Carlsson den 8 maj 2017. Michiko Mutos anställning upphörde från och med den 31 augusti 2017.

Utredningen som antagit namnet Utredningen om effektiv styrning av nationella digitala tjänster, får härmed överlämna sitt slutbetänkande.

Stockholm i december 2017

Hans-Eric Holmqvist

/Christine Annemalm Hanna Nilo Sofia Larsdotter Carlsson

Sammanfattning

Utredningen bedömer att regeringen det senaste året genom en serie olika initiativ har markerat en tydlig förändring av inriktningen av politiken för den digitala förvaltningen. I flera avseenden innebär initiativen en tydlig omprövning av tidigare ställningstaganden. Det som pågår kan därför beskrivas som en omstart – reboot – av politiken för digitalisering inom den offentliga sektorn. De förslag som återges i detta slutbetänkande, liksom förslagen i utredningens delbetänkande, bygger vidare på dessa åtgärder och är avsedda att komplettera dem.

Effektiv styrning

Om styrningen ska vara effektiv måste den riktas direkt till den eller de offentliga myndigheter som ska styras. Styrningen behöver anpassas både till den eller de som ska styras och till den typ av verksamhet eller de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel, både bindande och icke-bindande, liksom finansiella och legala. En effektiv finansiell styrning och finansiering av förvaltningsgemensamma digitala funktioner innebär att riksdagen och regeringen måste styra resurserna utifrån ett förvaltningsövergripande perspektiv och att kraven på kvalitet och effektivitet i dessa funktioner måste tillgodoses och bedömas på en förvaltningsövergripande nivå. Det måste finnas formella beslut om vad som ska vara det offentliga åtagandet i den nationella digitala infrastrukturen.

Av det skälet bör riksdagen lägga fast ett mål för den offentliga förvaltningens digitalisering. Detta ska ligga till grund för regeringens redovisning till riksdagen och styrningen av de offentliga myndigheterna. Det bör också finnas ett digitaliseringsmål för alla statliga myndigheter.

Regeringen behöver fastställa en särskild intern process för att bereda initiativ till samt utvärdera förvaltningsgemensamma digitala funktioner. Regeringen bör vidare besluta om en tidsbestämd övergripande plan – en strategi – för digitalisering och it i den offentliga förvaltningen samt förnya avsiktsförklaringen om digitalisering med Sveriges Kommuner och Landsting.

Statlig elektronisk identitetshandling

Utredningen bedömer att det bör vara ett statligt åtagande att det finns en tillförlitlig process för grundidentifiering, det vill säga att säkerställa individers identitet. Staten ska också utfärda en elektronisk identitetshandling för att på det viset säkerställa att medborgare och folkbokförda kan få en sådan. Den statliga elektroniska identitetshandlingen ska utfärdas samtidigt med en statlig fysisk identitetshandling. Den statliga elektroniska identitetshandlingen ska kunna användas för identifiering hos myndigheter men också kunna växlas till en mobil elektronisk identitetshandling. Därmed kan den statliga elektroniska identitetshandlingen fungera som en backup om t.ex. mobiltelefonen blir obrukbar.

Gränsöverskridande användning av elektroniska identitetshandlingar

Utredningen bedömer att det finns ett behov av att staten säkerställer att Sverige kan anmäla en elektronisk identitetshandling för användning i Europa enligt eIDAS-förordningen.1 Sverige bör delta aktivt i det europeiska arbetet med att möjliggöra gränsöverskridande användning av elektroniska identitetshandlingar. När det gäller att öppna upp elektroniska tjänster anser utredningen att Sverige bör samverka med länder som har identitetsbeteckningar som liknar det svenska personnumret och som har anmält eller avser att anmäla en nationell elektronisk identitetshandling. Samarbetet bör präglas av ömsesidighet och tjänster som används frekvent bör prioriteras.

1 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Det redan påbörjade nordiska samarbetet är en lämplig början. Regeringen bör ge uppdrag till myndigheter som har särskilt ofta förekommande ärenden rörande nordiska medborgare att delta i och stödja samarbetsprojekt med motsvarande myndigheter i de nordiska och baltiska länderna.

Som ett stöd för arbetet bör Skatteverket få i uppdrag att inrätta ett svenskt register över säkerställda kopplingar mellan europeiska elektroniska identitetshandlingar och svenska personnummer.

Mina meddelanden

Utredningen föreslår att Mina meddelanden ska regleras i en lag om infrastruktur för digital post. Av flera skäl anser utredningen att infrastrukturen Mina meddelanden behöver ännu tydligare reglering än vad som föreslogs i delbetänkandet.2

Anpassningar till dataskyddsförordningen3 och fördelning av personuppgiftsansvaret behöver stöd i lag. Dessutom bör infrastrukturen öppnas upp för privata aktörer som avsändare, vilket också bör regleras i lag.

2SOU 2017:23, digitalforvaltning.nu, s. 33 ff. 3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

1. Författningsförslag

1.1. Förslag till lag om statlig elektronisk identitetshandling

Härigenom föreskrivs följande.

1 § I denna lag finns bestämmelser om statliga elektroniska identitetshandlingar.

2 § En statlig elektronisk identitetshandling kan utfärdas till den som är svensk medborgare eller folkbokförd i Sverige enligt folkbokföringslagen (1991:481).

3 § En statlig elektronisk identitetshandling innehåller följande uppgifter om en individ:

– nuvarande efternamn – nuvarande förnamn – födelsedatum – personnummer

Regeringen eller den myndighet som regeringen bestämmer får besluta om att lägga till andra uppgifter om en individ i den elektroniska identitetshandlingen.

4 § En statlig elektronisk identitetshandling ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

En statlig elektronisk identitetshandling ska utformas enligt de tekniska specifikationerna i lagen om infrastruktur för elektronisk

identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

5 § En statlig elektronisk identitetshandling ska finnas på de fysiska identitetshandlingar som regeringen bestämmer.

En statlig elektronisk identitetshandling har samma giltighetstid som den fysiska identitetshandling som den finns på.

6 § Ansökan om en statlig elektronisk identitetshandling ska göras hos de myndigheter (utfärdande myndigheter) som regeringen bestämmer.

7 § Ansökan om en statlig elektronisk identitetshandling ska göras i samband med ansökan om en fysisk identitetshandling. Uppgifterna i ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.

8 § Sökanden är skyldig att i samband med ansökan om en statlig elektronisk identitetshandling styrka sin identitet och övriga personuppgifter.

9 § En ansökan om en statlig elektronisk identitetshandling ska avslås om förutsättningarna i 8 § inte är uppfyllda eller det som har föreskrivits av regeringen i fråga om ansökan inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen.

10 § Regeringen eller de myndigheter som regeringen bestämmer får meddela ytterligare föreskrifter om ansökan och utfärdande av statliga elektroniska identitetshandlingar.

11 § Statliga myndigheter, kommuner och landsting ska erkänna identifiering med den statliga elektroniska identitetshandlingen i de e-tjänster där den statliga myndigheten, kommunen eller landstinget kräver elektronisk identifiering.

12 § Användare får använda den statliga elektroniska identitetshandlingen som underlag vid ansökan om en annan elektronisk identitetshandling.

13 § Regeringen eller de myndigheter som regeringen bestämmer får uppställa villkor för när en statlig elektronisk identitetshandling får användas som underlag för ansökan om en annan elektronisk identitetshandling.

14 § När en statlig elektronisk identitetshandling används som underlag vid ansökan om en elektronisk identitetshandling hos en annan utfärdare av elektroniska identitetshandlingar ska denne informera den utfärdande myndigheten.

15 § Den utfärdande myndigheten ska registrera vilka andra elektroniska identitetshandlingar som har skapats med den statliga elektroniska identitetshandlingen som underlag.

16 § En statlig elektronisk identitetshandling ska spärras om

– det fanns hinder mot att utfärda den statliga elektroniska identitetshandlingen vid tiden för utfärdandet och hindret fortfarande består,

– någon väsentlig uppgift som framgår av den statliga elektroniska identitetshandlingen är felaktig och inte längre gäller, eller

– någon annan än den som den statliga elektroniska identitetshandlingen är utställd till förfogar över den statliga elektroniska identitetshandlingen.

17 § Om en statlig elektronisk identitetshandling spärras ska den utfärdande myndigheten informera de utfärdare av elektroniska identitetshandlingar, som har använt den statliga elektroniska identitetshandlingen som underlag om detta.

18 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandet vid spärr av statliga elektroniska identitetshandlingar.

19 § Beslut enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätt.

20 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.

Denna lag träder i kraft den 1 januari 2020.

1.2. Förslag till lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling

Härigenom föreskrivs följande.

1 § I denna lag finns bestämmelser om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

I infrastrukturen för elektronisk identifiering ingår:

1. tillitsramverk,

2. tekniska specifikationer för elektronisk identifiering,

3. register med utfärdare och förlitande aktörer samt

4. modell för dialogruta med valbara elektroniska identitetshandlingar.

Svensk elektronisk identitetshandling är ett kvalitetsmärke för elektroniska identitetshandlingar som har granskats och godkänts mot tillitsramverket och de tekniska specifikationerna.

2 § I lagen avses med

1. användare: den som har en elektronisk identitetshandling,

2. elektronisk identitetshandling: en värdehandling som en användare kan använda för att identifiera sig elektroniskt,

3. fysisk bärare: en fysisk identitetshandling, en koddosa eller liknande,

4. mobil bärare: exempelvis en smarttelefon eller en surfplatta,

5. förlitande aktör: den som behöver verifiera en användares uppgifter vid identifiering mot en e-tjänst,

6. utfärdare: den som utfärdar en elektronisk identitetshandling till en användare,

7. tillitsramverk: ett graderat ramverk för tillförlitlighet i utfärdade elektroniska identitetshandlingar,

8. tillitsnivå: en nivå inom tillitsramverket,

9. tekniska specifikationer: tekniska krav som ställs på elektronisk identifiering,

10. modell för dialogruta med valbara elektroniska identitetshand-

lingar: gruppering av elektroniska identitetshandlingar som har kvali-

tetsmärket Svensk elektronisk identitetshandling och som presenterar dessa för användaren när denne ska identifiera sig elektroniskt.

Tillitsramverk

3 § Det ska finnas ett tillitsramverk för elektroniska identitetshandlingar, som löpande ska anpassas till väletablerade standarder och utvecklingen i övrigt samt de hot och risker som kan uppkomma på området.

4 § Den myndighet som regeringen bestämmer ska förvalta och utveckla tillitsramverket enligt 3 §.

Tekniska specifikationer

5 § Det ska finnas tekniska specifikationer för elektronisk identifiering, som löpande ska anpassas till väletablerade standarder, utvecklingen i övrigt, samt de hot och risker som kan uppkomma på området.

6 § Den myndighet som regeringen bestämmer ska förvalta och utveckla de tekniska specifikationerna enligt 5 §.

Kvalitetsmärket Svensk elektronisk identitetshandling

7 § Utfärdare av elektroniska identitetshandlingar kan ansöka om att granskas mot tillitsramverket enligt 3 § och de tekniska specifikationerna enligt 5 §. Den som uppfyller kraven på tillitsnivåerna och de tekniska specifikationerna ska godkännas.

8 § Godkända elektroniska identitetshandlingar får som ett tillägg till egen benämning även använda kvalitetsbenämningen Svensk elektronisk identitetshandling.

9 § Ansökan om att granskas mot tillitsramverket och de tekniska specifikationerna ska göras hos den myndighet som regeringen bestämmer. Samma myndighet ska godkänna att en elektronisk identitetshandling får använda kvalitetsbenämningen Svensk elektronisk identitetshandling.

Register med utfärdare av elektroniska identitetshandlingar och förlitande aktörer

10 § Det ska finnas ett register över utfärdare av elektroniska identitetshandlingar med kvalitetsmärket Svensk elektronisk identitetshandling och förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll.

11 § Den myndighet som regeringen bestämmer ska förvalta och utveckla registret enligt 10 §.

12 § Förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll ska registreras i registret med utfärdare och förlitande aktörer.

Modell för dialogruta med valbara elektroniska identitetshandlingar

13 § Det ska finnas en modell för dialogruta med valbara elektroniska identitetshandlingar. En dialogruta med valbara elektroniska identitetshandlingar ska visa de elektroniska identitetshandlingar som ingår i valfrihetssystem som tillhandahålls enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll samt den statliga elektroniska identitetshandlingen.

14 § Den myndighet som regeringen bestämmer ska förvalta och utveckla modellen enligt 13 §.

15 § Statliga myndigheter, kommuner och landsting ska använda modellen för dialogruta med valbara elektroniska identitetshandlingar i de e-tjänster där den statliga myndigheten, kommunen eller landstinget kräver att individen ska identifiera sig elektroniskt.

16 § Regeringen får besluta om undantag till skyldigheten i 15 § om det finns särskilda skäl.

Denna lag träder i kraft den 1 januari 2020.

1.3. Förslag till lag om infrastruktur för digital post

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § Den myndighet som regeringen bestämmer (myndigheten) ska tillhandahålla en infrastruktur för digital post.

2 § Denna lag gäller vid behandling av personuppgifter inom infrastrukturen. Vid sådan behandling gäller lagen endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

3 § I denna lag avses med

1. ankomstkontroll: att leverantören av brevlådetjänster för digital post utför kontroll mot förmedlingsadressregistret att avsändaren är ansluten.

2. avsändare: offentlig myndighet eller juridisk person som skickar digital post till en mottagare inom infrastrukturen.

3. avsändningskontroll: att avsändaren utför kontroll mot förmedlingsadressregistret att mottagaren är ansluten till infrastrukturen, i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mottagaren.

4. brevlådetjänster för digital post: den del inom infrastrukturen som lagrar digital post efter att den har gjorts tillgänglig för mottagaren.

5. digital post: meddelanden genom digitala kanaler mellan olika aktörer i infrastrukturen.

6. förmedlare: en juridisk person eller en individ som utför uppdrag åt en avsändare genom att vidarebefordra digital post.

7. förmedlingsadressregister: det register som innehåller uppgifter, däribland personuppgifter, om de anslutna i infrastrukturen.

8. leverantör av brevlådetjänster för digital post: en juridisk person eller en individ som tillhandahåller brevlådetjänster för digital post.

9. mottagare: individer och företag som anslutit sig till förmedlingsadressregistret och i sin brevlådetjänst för digital post tar emot digital post inom infrastrukturen.

10. privat utförare: en juridisk person eller en individ som har hand om en kommunal angelägenhet.

I övrigt gäller definitioner i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

4 § Infrastrukturen består av förmedlingsadressregister, brevlådor för digital post, valfrihetssystem enligt lagen om valfrihet om elektroniska brevlådor samt vad regeringen, eller den myndighet regeringen bestämmer, har beslutat i form av föreskrifter.

5 § Myndigheten får tillhandahålla brevlådetjänster för digital post till mottagare som enbart tar emot digital post från avsändare enligt 11 §.

6 § Till stöd för förmedling av digital post får myndigheten föra ett förmedlingsadressregister över anslutna enligt 11–15 §§. Syftet med registret är att ge de som är anslutna till infrastrukturen möjlighet att behandla personuppgifter i sin digitala postverksamhet på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Om rätten att få meddelande från myndighet via infrastrukturen

7 § Om en ansluten mottagare begärt att en statlig myndighet ska sända digital post genom infrastrukturen får detta underlåtas endast om särskilda skäl finns.

Förhållandet till annan lagstiftning

8 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats med anslutning till den.

Ändamål

9 § Personuppgifter får bara behandlas om det behövs för att

1. hantera digital post i syfte att kunna utföra en arbetsuppgift inom en författningsreglerad verksamhet hos någon av de som anslutit sig till infrastrukturen, eller

2. lagra och bearbeta digital post som avses i 1 p. i syfte att erbjuda tilläggstjänster för brevlådeinnehavarna.

10 § Personuppgifter som behandlas eller har behandlats enligt 9 § får även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.

I ett enskilt fall får personuppgifter som behandlas eller har behandlats enligt 9 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Anslutning

11 § Till infrastrukturen ska som avsändare anslutas myndigheter under regeringen om inte regeringen har beslutat annat. Till infrastrukturen får kommuner och landsting ansluta sig som avsändare.

Vidare får privata utförare av kommunala angelägenheter ansluta sig som avsändare enligt vad som föreskrivs i denna lag.

Regeringen får besluta att som avsändare får företag och organisationer som utför en uppgift av allmänt intresse ansluta sig. Regeringen får besluta om att denna anslutning ska villkoras med att företaget eller organisationen ska ha avtal med leverantör av brevlådetjänster för digital post.

12 § Till infrastrukturen får individer och företag ansluta sig som mottagare om de anmält att de vill ta emot digital post från anslutna avsändare. Varje mottagare har genom sin anmälan tillgång till en brevlådetjänst för digital post.

13 § Till infrastrukturen får leverantör av brevlådetjänster för digital post ansluta sig.

14 § Den som ansluter sig till infrastrukturen ska registreras i förmedlingsadressregistret.

Avsändnings- och ankomstkontroll

15 § Avsändare ska före sändning av digital post kontrollera i förmedlingsadressregistret om mottagaren är ansluten till infrastrukturen och i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.

16 § Förmedlare ska före sändning av digital post kontrollera i förmedlingsadressregistret om mottagaren fortfarande är ansluten till infrastrukturen och om avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.

17 § Leverantör av brevlådetjänster för digital post ska vid ankomst av digital post kontrollera i förmedlingsadressregistret att avsändaren fortfarande är ansluten till infrastrukturen. Om avsändaren inte är ansluten eller har något civilrättsligt avtal med mottagaren om digital brevlådetjänst ska meddelandet inte mottas.

Personuppgiftsansvar

18 § Myndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför när den tillhandahåller förmedlingsadressregistret.

19 § Avsändaren är personuppgiftsansvarig för behandling av personuppgifter till dess att leverantör av brevlådetjänster för digital post genom ankomstkontroll godkänt mottagandet enligt 17 §.

Avsändaren är vidare personuppgiftsansvarig för behandling av uppgifter som leverantören utför på avsändarens begäran efter att meddelandet gjorts tillgängligt för mottagaren.

20 § Leverantör av brevlådetjänster för digital post är personuppgiftsansvarig för behandling av uppgifter efter att ankomstkontroll genomförts med undantag för förhållanden enligt 19 § andra stycket.

Leverantören är vidare personuppgiftsansvarig för behandling av uppgift som denne erbjuder mottagaren.

Anslutning av privata utförare av kommunala angelägenheter

21 § Privata utförare av kommunala angelägenheter får ansluta sig på begäran av kommun eller landsting som är ansluten till infrastrukturen. När utförarens uppdrag har upphört ska kommunen anmäla detta till den myndighet som regeringen beslutar för att ta bort registreringen på den privata utföraren som avsändare i förmedlingsadressregistret.

En förutsättning för anmälan ska vara att kommunen eller landstinget är ansluten samt har kommit överens med utföraren att denne ska använda infrastrukturen.

Kommunen eller landstinget ska kontrollera att utföraren använder infrastrukturen på avsett sätt. Om kommunen eller lands-

tinget finner att utföraren brister härvidlag eller då uppdraget upphör ska anmälan återkallas.

Föreskrifter

22 § Regeringen eller den myndighet som regeringen bestämmer får med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. inrättande och drift av infrastrukturen,

2. den längsta tid under vilken personuppgifter får behandlas,

3. säkerhetsåtgärder till skydd för personuppgifter,

4. behörighets- och sökbegränsningar, och

5. vilka verksamheter som regeringen vill ge möjlighet att ansluta som avsändare i infrastrukturen samt villkor för dem.

Ersättning till leverantör av brevlådetjänster för digital post

23 § När myndigheten tillämpar lagen om valfrihet om digitala brevlådor ska regeringen eller den myndighet regeringen bestämmer fastställa ersättning till leverantör av brevlådetjänster för digital post anslutna enligt 13 §. Vad som där fastställs ska inte tillämpas för den som anslutits enligt 11 § andra stycket.

Denna lag träder i kraft den 1 juli 2019.

1.4. Förslag till lag om valfrihet om digitala brevlådor

Härigenom föreskrivs följande.

1 § Skatteverket får besluta att tillhandahålla valfrihetssystem för digitala brevlådor enligt lagen om infrastruktur för digital post.

Med valfrihetssystem menas ett förfarande där mottagaren har rätt att välja den leverantör som ska utföra tjänsten och som Skatteverket har godkänt och tecknat avtal med.

2 § När Skatteverket tillhandahåller valfrihetssystem enligt denna lag ska myndigheten tillämpa lagen (2008:962) om valfrihetssystem.

I stället för det som sägs i 2 kap. 3 § första meningen, 6 och 7 §§ lagen om valfrihetssystem ska med

1. leverantör avses den som på marknaden tillhandahåller tjänster som nämns i 1 §,

2. tjänst avses sådan tjänst som nämns i 1 §, och

3. upphandlande myndighet avses Skatteverket.

Denna lag träder i kraft den 1 juli 2019.

1.5. Förslag till lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Härigenom föreskrivs i fråga om lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering att det i lagen ska införas nio nya paragrafer, tre nya rubriker samt en ny rubriknivå med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Tillsynsmyndigheten

5 §

Tillsynsmyndigheten har rätt att på begäran få de upplysningar och handlingar som behövs för tillsynen.

Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som står under tillsyn bedrivs.

Tillsynsmyndigheten har rätt att få biträde av Kronofogdemyndigheten för tillsyn enligt första och andra styckena.

Avgifter

Avgifter

7 §

Regeringen eller, efter regeringens bemyndigande, tillsynsmyndigheten får meddela föreskrifter om skyldighet för tillhandahållare av betrodda tjänster att betala avgift för tillsynsmyndighetens verksamhet enligt denna lag.

Överklagande

Överklagande

8 §

Tillsynsmyndighetens beslut enligt EU:s förordning om elektronisk identifiering och rättsakter som har meddelats med stöd av den förordningen, samt enligt denna lag och föreskrifter som har

meddelats med stöd av lagen, får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Noden

9 §

Den myndighet som regeringen utser (nodmyndigheten) ska ansvara för att tillhandahålla en offentlig förbindelsepunkt (nod) för gränsöverskridande elektronisk identifiering och att den fungerar i enlighet med EU:s förordning om elektronisk identifiering och rättsakter som har meddelats med stöd av den förordningen.

Regeringen eller, efter regeringens bemyndigande, nodmyndigheten får meddela föreskrifter om noden.

10 §

För att användare ska kunna identifieras får nodmyndigheten behandla de personuppgifter som kommer till noden. Vilka personuppgifter som kommer till noden regleras i bilagan till Kommissionens genomförandeförordning (EU) 2015/1501.

Nodmyndigheten är personuppgiftsansvarig för de behandlingar av personuppgifter som utförs i noden.

11 §

Nodmyndigheten får behandla (tekniska) uppgifter för de aktörer vars uppgifter ska behandlas av noden. Myndigheten får även behandla de personuppgifter som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.

12 §

Alla myndigheter som, för att ge åtkomst till sina nättjänster, omfattas av kraven på elektronisk identifiering enligt EU:s förordning om elektronisk identifiering, ska ansluta till den svenska offentliga noden.

Myndigheter som inte omfattas av förordningens krav får ansluta till den svenska offentliga noden.

13 §

Privata aktörer får ansluta till den svenska offentliga noden.

Regeringen eller, efter regeringens bemyndigande, nodmyndigheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden enligt denna lag.

14 §

Alla som är anslutna till noden ska utan otillbörligt dröjsmål underrätta nodmyndigheten om alla händelser som påverkat funktionalitet eller säkerhet i noden.

Anmälan av svenska medel för elektronisk identifiering

15 §

Den myndighet som regeringen utser ansvarar för anmälan av svenska medel för elektronisk identifiering för gränsöverskridande elektronisk identifiering enligt EU:s förordning om elektronisk identifiering. (anmälande myndighet)

Regeringen eller den myndighet som regeringen bemyndigar får meddela föreskrifter om hur anmälan ska gå till.

16 §

För att kunna anmälas för gränsöverskridande elektronisk identifiering ska ett svenskt medel för elektronisk identifiering

1. vara kvalitetsgranskat av digitaliseringsmyndigheten,

2. endast utfärdas till medborgare eller folkbokförda i Sverige,

3. ingå i valfrihetssystem enligt lagen ( 2013:311 ) om valfrihetssystem i fråga om tjänster för elektronisk identifiering, och

4. vara utfärdat av en aktör som har tecknat försäkring som täcker ersättning för skada som åsamkats fysiska eller juridiska personer avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla de skyldigheter som avses i artikel 7 i EU:s förordning om elektronisk identifiering.

17 §

Anmälande myndighet ansvarar även för att tillfälligt upphäva, återkalla, återinföra och dra tillbaka elektroniska identitetshandlingar vid säkerhetsincidenter enligt artikel 10 i EU:s förordning om elektronisk identifiering.

Denna lag träder i kraft den 29 september 2018.

1.6. Förslag till lag om ändring i lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering

Härigenom föreskrivs att rubriken till lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering samt 1, 2, 4, 11, 16, 19 och 22 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Lag om valfrihetssystem i fråga om tjänster för elektronisk iden-

tifiering

Lag om valfrihetssystem i fråga om funktioner för elektronisk

identitetskontroll

1 §4

I denna lag finns bestämmelser om tillämpning av valfrihetssystem i fråga om tjänster för elektronisk identifiering.

Lagen gäller när en upphandlande myndighet har

1. beslutat att tillämpa valfrihetssystem i fråga om tjänster för elektronisk identifiering av enskilda i myndighetens elektroniska tjänster,

2. anslutit sig till ett system för säker elektronisk identifiering som tillhandahålls av den myndighet som regeringen bestämmer, och

3. uppdragit åt den myndighet som avses i 2 att i den upphandlande myndighetens namn administrera valfrihetssystemet enligt 3–14 §§, föra dess talan i

I denna lag finns bestämmelser om tillämpning av valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll.

Den myndighet som regeringen bestämmer (den upphandlade myndigheten) ska tillhandahålla valfrihetssystem för funktioner för elektronisk identitetskontroll.

Statliga myndigheter, kommuner och landsting med behov av funktioner för elektronisk identitetskontroll ska ansluta sig till valfrihetssystem som den upphandlande myndigheten tillhandahåller.

Regeringen får besluta om undantag från skyldigheten i andra stycket om det finns särskilda skäl.

4 Senaste lydelse 2013:311.

samband med mål om rättelse enligt 16 § och i förekommande fall vidta rättelse enligt 17 §.

2 §

5

Med valfrihetssystem avses i denna lag ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra tjäns-

ten och som en upphandlande myndighet har godkänt och teck-

nat kontrakt med.

Termerna upphandlingsdokument, kontrakt och upphandlande myndighet har i denna lag samma betydelse som i lagen (2016:1145) om offentlig upphandling.

Med valfrihetssystem avses i denna lag ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra

identitetskontrollen och som den upphandlande myndigheten har

godkänt och tecknat kontrakt med.

Termerna upphandlingsdokument, kontrakt och upphandlande myndighet har i denna lag samma betydelse som i lagen (2016:1145) om offentlig upphandling.

4 § 6

En upphandlande myndighet som har beslutat att inrätta eller

förändra ett valfrihetssystem ska

annonsera på en nationell webb-

plats som har upprättats för ändamålet. Ansökningar ska löpande begäras in genom sådan annonsering.

Upphandlingsdokumenten ska finnas tillgängliga på webbplatsen tillsammans med annonsen.

När den upphandlande myndigheten har beslutat att inrätta

eller förändra ett valfrihetssystem ska det annonseras på en nationell webbplats som har upprättats för ändamålet. Ansökningar ska löpande begäras in genom sådan annonsering.

Upphandlingsdokumenten ska finnas tillgängliga på webbplatsen tillsammans med annonsen.

5 Senaste lydelse 2016:1161. 6 Senaste lydelse 2016:1161.

11 §

7

Den upphandlande myndigheten får begära att sökanden visar att det inte finns någon grund för att utesluta denne med stöd av 10 § första stycket 1, 2 eller 5.

Den upphandlande myndigheten ska som bevis för att det inte finns grund för att utesluta en sökande godta utdrag ur ett officiellt register eller annan likvärdig handling när det gäller ett förhållande som avses i 10 § första stycket 1 eller 2 och intyg från en behörig myndighet när det gäller ett förhållande som avses i 10 § första stycket 5.

Om, i fråga om en sökande som inte är medborgare i eller bosatt i Sverige, sådana handlingar eller intyg som avses i andra stycket inte utfärdas i sökandens hemland eller ursprungsland, eller inte omfattar samtliga de fall som avses i 10 § första stycket 1, 2 och 5, får de ersättas med en utsaga som har avgetts på heder och samvete eller av en liknande försäkran. En sådan sökande får också föreläggas att visa att det inte finns grund för att utesluta denne med stöd av 10 § första stycket 3 eller andra stycket.

Om en sökande är registrerad i en officiell förteckning över godkända tjänstetillhanda-

Den upphandlande myndigheten får begära att sökanden visar att det inte finns någon grund för att utesluta denne med stöd av 10 § första stycket 1, 2 eller 5.

Den upphandlande myndigheten ska som bevis för att det inte finns grund för att utesluta en sökande godta utdrag ur ett officiellt register eller annan likvärdig handling när det gäller ett förhållande som avses i 10 § första stycket 1 eller 2 och intyg från en behörig myndighet när det gäller ett förhållande som avses i 10 § första stycket 5.

Om, i fråga om en sökande som inte är medborgare i eller bosatt i Sverige, sådana handlingar eller intyg som avses i andra stycket inte utfärdas i sökandens hemland eller ursprungsland, eller inte omfattar samtliga de fall som avses i 10 § första stycket 1, 2 och 5, får de ersättas med en utsaga som har avgetts på heder och samvete eller av en liknande försäkran. En sådan sökande får också föreläggas att visa att det inte finns grund för att utesluta denne med stöd av 10 § första stycket 3 eller andra stycket.

Om en sökande är registrerad i en officiell förteckning över godkända tillhandahållare

7 Senaste lydelse 2013:311.

hållare i ett land inom Euro-

peiska ekonomiska samarbetsområdet, ska den upphandlande myndigheten utgå från att sökanden inte kan uteslutas som leverantör enligt 10 § första stycket 1–5.

av identitetskontroll i ett land

inom Europeiska ekonomiska samarbetsområdet, ska den upphandlande myndigheten utgå från att sökanden inte kan uteslutas som leverantör enligt 10 § första stycket 1–5.

16 §

8

En leverantör som gör gällande att en upphandlande myndig-

het har brutit mot en bestäm-

melse i denna lag, får ansöka om rättelse hos allmän förvaltningsdomstol.

Endast den sökande som inte har godkänts får ansöka om rättelse av beslut enligt 12 §.

En ansökan om rättelse ska vara skriftlig.

En leverantör som gör gällande att den upphandlande myndig-

heten har brutit mot en bestäm-

melse i denna lag, får ansöka om rättelse hos allmän förvaltningsdomstol.

Endast den sökande som inte har godkänts får ansöka om rättelse av beslut enligt 12 §.

En ansökan om rättelse ska vara skriftlig.

19 §

9

En upphandlande myndighet som inte har följt bestämmelser-

na i denna lag ska ersätta sökanden för därigenom uppkommen skada.

Talan om skadestånd ska väckas vid allmän domstol.

En skadeståndstalan som grundar sig på ett beslut att inte godkänna en sökande ska väckas inom ett år från dagen för beslutet. Väcks inte talan i tid, är rätten till skadestånd förlorad.

Om den upphandlande myndigheten inte har följt bestämmel-

serna i denna lag ska myndig-

heten ersätta sökanden för

därigenom uppkommen skada.

Talan om skadestånd ska väckas vid allmän domstol.

En skadeståndstalan som grundar sig på ett beslut att inte godkänna en sökande ska väckas inom ett år från dagen för beslutet. Väcks inte talan i tid, är rätten till skadestånd förlorad.

8 Senaste lydelse 2013:311. 9 Senaste lydelse 2013:311.

22 §

10

Den myndighet som regeringen bestämmer utövar tillsyn över att denna lag följs.

Tillsynsmyndigheten får inhämta sådana upplysningar som är nödvändiga för tillsynen från

en upphandlande myndighet och från den myndighet som avses i 1 § andra stycket 2. Upplys-

ningarna ska i första hand inhämtas genom ett skriftligt förfarande. Om det på grund av materialets omfång, brådska eller något annat förhållande är lämpligare, får upplysningarna i stället inhämtas genom besök hos den upphandlande myndigheten eller den myndighet som avses i 1 § andra stycket 2.

En upphandlande myndighet och den myndighet som avses i 1 § andra stycket 2 är skyldig att

tillhandahålla de upplysningar som tillsynsmyndigheten begär för sin tillsyn.

Den myndighet som regeringen bestämmer utövar tillsyn över att denna lag följs.

Tillsynsmyndigheten får inhämta sådana upplysningar som är nödvändiga för tillsynen från

den upphandlande myndigheten och från den myndighet som avses i 1 § tredje stycket. Upplys-

ningarna ska i första hand inhämtas genom ett skriftligt förfarande. Om det på grund av materialets omfång, brådska eller något annat förhållande är lämpligare, får upplysningarna i stället inhämtas genom besök hos den upphandlande myndigheten eller den myndighet som avses i 1 § tredje stycket.

Den upphandlande myndigheten och den myndighet som avses i 1 § tredje stycket är skyl-

dig att tillhandahålla de upplysningar som tillsynsmyndigheten begär för sin tillsyn.

Denna lag träder i kraft den 1 januari 2020.

10 Senaste lydelse 2013:311.

1.7. Förslag till förordning med mål för de statliga myndigheternas digitaliseringsarbete

Härigenom föreskrivs följande

Förordningens tillämpningsområde

1 § Denna förordning gäller för myndigheterna under regeringen.

Mål för de statliga myndigheternas digitaliseringsarbete

2 § Målet för de statliga myndigheternas digitaliseringsarbete är att den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den statliga förvaltningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.

Redovisning

3 § Myndigheterna ska i sin årsredovisning redovisa sina resultat i förhållande till regeringens mål i 2 § i denna förordning för de statliga myndigheternas digitaliseringsarbete. Resultatredovisningen ska lämnas enligt 3 kap. 1 § förordningen (2000:605) om årsredovisning och budgetunderlag.

Denna förordning träder i kraft den 1 januari 2019.

1.8. Förslag till förordning om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling

Härigenom föreskrivs följande

1 § Digitaliseringsmyndigheten ska förvalta och utveckla tillitsramverket enligt 3 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

2 § Digitaliseringsmyndigheten ska förvalta och utveckla de tekniska specifikationerna enligt 5 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

3 § Digitaliseringsmyndigheten ska granska elektroniska identitetshandlingar enligt 9 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling elektroniska identitetshandlingar samt godkänna att en elektronisk identitetshandling får använda benämningen Svensk elektronisk identitetshandling.

4 § Digitaliseringsmyndigheten ska förvalta och utveckla registret med utfärdare av elektroniska identitetshandlingar och förlitande aktörer enligt 10 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

5 § Digitaliseringsmyndigheten ska förvalta och utveckla modellen för dialogruta med valbara elektroniska identitetshandlingar enligt 13 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

Denna förordning träder i kraft den 1 januari 2020.

1.9. Förslag till förordning om infrastruktur för digital post

Härigenom föreskrivs följande.

1 § Skatteverket ska tillhandahålla en infrastruktur för digital post och vara myndigheten enligt lagen om infrastruktur för digital post.

2 § Skatteverket får meddela föreskrifter enligt 23 § lagen om infrastruktur för digital post.

3 § Som avsändare i infrastrukturen för digital post får enligt 24 § 4 p. lagen om infrastruktur för digital post friskolor, banker, försäkringsföretag, pensionsförvaltare, kreditupplysningsföretag, apotek, bilbesiktningsföretag och bostadsföretag ansluta sig.

4 § De avsändare som ansluts enligt 3 § denna förordning ska ha avtalat om att skicka digital post med leverantörerna av brevlådetjänster för digital post som är anslutna till infrastrukturen.

Denna förordning träder i kraft den 1 juli 2019.

1.10. Förslag till förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Härigenom föreskrivs i fråga om förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering att det i förordningen ska införas fyra nya paragrafer med följande lydelse.

6 § Digitaliseringsmyndigheten ska vara nodmyndighet enligt 9 § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Digitaliseringsmyndigheten ska vara kontaktpunkt för Europeiska kommissionen i frågor som rör gränsöverskridande elektronisk identifiering.

7 § Digitaliseringsmyndigheten får meddela föreskrifter om

1. hur aktörer ska ansluta till noden, och

2. rapportering av händelser som påverkat funktionaliteten eller säkerheten i noden.

8 § Digitaliseringsmyndigheten ska ansvara för anmälningar till kommissionen av svenska medel för elektronisk identifiering för gränsöverskridande elektronisk identifiering enligt EU:s förordning om elektronisk identifiering.

9 § Digitaliseringsmyndigheten ska vid större förändringar av det system som den svenska noden omfattar, begära en teknisk säkerhetsgranskning av Försvarets radioanstalt. Granskningsförfarandet får ta max tre månader från det att digitaliseringsmyndigheten ansökt om granskning.

Denna förordning träder i kraft den 29 september 2018.

1.11. Förslag till förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (I)

Härigenom föreskrivs att det i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte ska införas en ny paragraf, 2 a, med följande lydelse.

2 a § Myndigheter får samverka utanför sina verksamhetsområden i frågor om digitalisering av den offentliga förvaltningen.

Denna förordning träder i kraft den 1 januari 2019.

1.12. Förslag till förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (II)

Härigenom föreskrivs att 5 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte ska upphöra att gälla den 1 juli 2019.

Denna förordning träder i kraft den 1 juli 2019.

2. Utredningens uppdrag och arbete

2.1. Uppdraget

Regeringen beslutade vid regeringssammanträde den 19 maj 2016 att tillkalla en särskild utredare för att analysera och lämna förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster. I uppdraget har ingått att, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk elegitimation, analysera och lämna förslag till utformning av organisering och ansvarsfördelning för de nationella digitala tjänsterna, åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna. Utredaren skulle även analysera och lämna förslag om vissa specifika frågor som rör Svensk e-legitimation och Mina meddelanden, samt återstående frågor om den nationella tillämpningen av EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (eIDAS-förordningen1) m.m.

I uppdraget har ingått att, i ett delbetänkande senast den 15 mars 2017, redovisa hur privata utförare av offentligfinansierad verksamhet ska kunna ansluta som avsändare inom Mina meddelanden, hur en övergång för privatpersoner och företag till digital myndighetspost kan genomföras i praktiken och förslag till utformning av en ersättningsmodell för de brevlådeoperatörer som tillhandahåller brevlådor inom ramen för Mina meddelanden.

1 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Regeringen beslutade vid regeringssammanträde den 24 november 2016 att utvidga uppdraget. I tilläggsdirektivet fick utredaren i uppdrag att analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet. Enligt uppdraget skulle utredaren med utgångspunkt i analysen lämna förslag till nödvändiga författningsändringar och övriga åtgärder som krävs för att en myndighet så snart som möjligt ska kunna ges denna uppgift. Utredaren fick dessutom i uppdrag att lämna förslag till en reglering som innebär en skyldighet för lämpliga statliga och kommunala myndigheter att ansluta sig till tjänsten Mina meddelanden. Den del av uppdraget som avsåg att samla ansvaret för digitaliseringen i den offentliga sektorn skulle redovisas senast den 15 mars 2017. Samtidigt förlängdes utredningstiden med två månader till senast den 31 december 2017.

2.2. Utredningsarbetet

I arbetet med slutbetänkandet har utredningen genomfört sex möten med expertgruppen. Utredningen har vidare samrått och diskuterat utredningsfrågorna med ett stort antal offentliga myndigheter och organisationer. Utredningen har deltagit vid flera möten med Sveriges Kommuner och Landstings (SKL) beredning för digitalisering och med SKL:s styrgrupp Center för eSamhället. Utredningen har även samrått med Integritetskommittén, Utredningen om rättsliga förutsättningar för en digitalt samverkande förvaltning, Servicekontorsutredningen och 2017 års ID-kortsutredning.

Utredningen har genomfört två workshops, en om elektronisk identifiering enligt eIDAS-förordningen och en om betrodda tjänster enligt eIDAS-förordningen.

Utredningen har deltagit i två workshops anordnade av EU-kommissionen, den ena om en marknadsföringsplan för att stimulera användningen av elektroniska identitetshandlingar och betrodda tjänster, och den andra om elektronisk identifiering inom banksektorn.

Utredningen har under hösten 2017 skickat ut en enkät till ett tjugotal offentliga myndigheter som har påbörjat anpassningsarbetet till eIDAS-förordningen för att få veta vilka konsekvenser de ser av eIDAS-förordningens krav. Utredningen har under samma period

även skickat en enkät till ett tiotal medlemsstater i EU för att få en uppfattning om hur de ser på anpassningar och krav med anledning av eIDAS-förordningen. Under hösten 2017 genomfördes ett möte med representanter för de leverantörer av digitala brevlådetjänster som anslutit sig till Mina meddelanden.

2.3. Utredningens utgångspunkter och inriktning

Tilläggsdirektivet har påverkat utredningens arbete även i de delar som det inte direkt berörde. Utredningen har under arbetets gång erfarit att regeringen avsett genomföra utredningens förslag om ett samlat myndighetsansvar för digitalisering av offentlig verksamhet. Vidare har regeringen beslutat om en ny organisation för statliga lokalkontor från och med den 1 januari 2019 och om att låta utreda frågan om vilka identitetshandlingar staten ska utfärda och vilka myndigheter som ska svara för denna uppgift. Tillsammans har detta varit en viktig inriktning för arbetet med de frågor som behandlas i detta betänkande.

Det bör framhållas att Sverige och den Europeiska Unionen befinner sig i en omfattande förändringsprocess när det gäller digitalisering. Den digitala mognaden hos unionens medlemsstater skiljer sig betydligt. Tillsammans medför detta svårigheter att göra precisa bedömningar om utvecklingen. Det gäller särskilt den europeiska marknadens vilja att utnyttja olika former av digitala tjänster. Utredningen utgår från att den myndighet som ska inleda sitt arbete den 1 september 2018 följer denna utveckling, vägleder myndigheterna och ger strategiskt stöd till regeringen.

Utredningens uppdrag och avgränsning är att lämna förslag till effektiv styrning av nationella digitala tjänster i en samverkande förvaltning, inte att lämna förslag till nya eller fler digitala tjänster. Utredningen har en förvaltningspolitisk utgångspunkt vilket innebär att det är individer och företag som står i fokus för den digitala förvaltningsutvecklingen samtidigt som förvaltningen ska effektivisera och hushålla väl med skattebetalarnas pengar.

Utredningen instämmer i det perspektiv som lyftes av E-delegationen och som betonade e-förvaltningens betydelse för samhällets samlade utvecklingsförmåga och innovationskraft. Med detta perspektiv blir digitaliseringen av förvaltningen inte en förvaltnings-

intern angelägenhet utan en vital del av arbetet med att utveckla den nationella digitala infrastrukturen. Digitaliseringen har därför inte bara som syfte att underlätta för individer och företag. Den syftar också till att främja konkurrenskraften.

Med detta breda perspektiv finns det också skäl att uppmärksamma de risker som följer av en alltmer utvecklad användning och spridning av individrelaterad information. Utredningen har därför valt att integrera frågor om informationssäkerhet, integritetsskydd och personuppgiftsansvar i utvecklingen och genomförandet av den digitala förvaltningen. Dessa frågor har därför kommit att ta en större plats i utredningsarbetet än direktiven gett uttryck för och utredningen lämnar även flera förslag som rör frågor om informationssäkerhet.

2.4. Betänkandets disposition

Betänkandet kan delas in i fyra delar, effektiv styrning och informationssäkerhet (kap. 3–9), elektroniska identitetshandlingar (kap. 10– 15), eIDAS-förordningen (kap. 16–20) och Mina meddelanden (kap. 21).

Dessutom bifogar utredningen eIDAS-förordningen i sin helhet.

2.5. Användning av några begrepp

2.5.1 digitaliseringsmyndigheten

Regeringen har beslutat att inrätta en myndighet för digitalisering av den offentliga sektorn.2 I skrivande stund är det inte klart vad myndigheten kommer att ha för namn. I betänkandet benämns myndigheten digitaliseringsmyndigheten.

2 Dir. 2017:117.

2.5.2 eIDAS-förordningen och terminologin

Med eIDAS-förordningen följer en begreppsflora som inte alltid stämmer överens med den svenska. Utredningen har försökt anpassa skrivningarna så mycket som möjligt men det finns exempel på begrepp i eIDAS-förordningen som inte alltid är naturliga att använda i svenska texter. I eIDAS-förordningen används t.ex. begreppet nättjänst i stället för e-tjänst.

Artikel 3 i eIDAS-förordningen innehåller definitioner av 41 begrepp som används i förordningen. Utredningen hänvisar till dessa definitioner när det gäller förklaringar av begrepp som används i sammanhang med eIDAS-förordningen.

2.5.3. Medel för att genomföra kärnverksamhet och kommunala angelägenheter

Förvaltningsgemensamma digitala funktioner är, enligt utredningens definition, medel dvs. redskap, verktyg, metoder m.m. för offentliga myndigheter att genomföra sin kärnverksamhet och angelägenheter. På samma sätt används begreppet medel för elektronisk identifiering i eIDAS-förordningen som ett redskap eller verktyg för elektronisk identifiering.

Kärnverksamhet och angelägenheter är en offentlig myndighets huvudsakliga uppgifter enligt instruktionen eller andra styrande dokument. Det kan beskrivas som myndighetens unika verksamhet eller den verksamhet som myndigheten är inrättad för att uträtta. Vad som är att beakta som kärnverksamhet kan variera över tid, med uppgifterna, och utifrån prioriteringar i verksamheterna. Verksamhet som inte är kärnverksamhet kan betraktas som stödverksamhet.3

Det begrepp i kommunallagen som utredningen tolkat som beskrivning av kommunernas och landstingens kärnverksamhet, eller huvudsakliga uppgifter är kommunala angelägenheter.

3 ESV 2014:49, Effektivisering av kärnverksamheter: Exempel från statliga myndigheter, Statskontoret 2015, Att göra eller köpa? Om outsourcing av statlig kärnverksamhet, Statskontoret 2016:19, Mer tid till kärnverksamheten.

2.5.4. Offentliga myndigheter

Regeringsformen skiljer mellan två typer av offentliga organ: beslut-

ande politiska församlingar, till exempel riksdagen och regeringen och myndigheter. Samtliga statliga och kommunala organ, dvs. statliga

myndigheter, kommuner och landsting med undantag för de beslutande församlingarna är myndigheter.

För att inte tynga texterna i onödan använder utredningen begreppet offentliga myndigheter som ett samlingsbegrepp för statliga myndigheter, kommuner och landsting. Begreppet offentliga myndigheter används dock inte konsekvent. I bland väljer utredningen att i stället skriva statliga myndigheter, kommuner och landsting.

I de fall utredningen har använt begreppet myndighet utan närmare precisering, såsom statlig myndighet, framgår det av kontexten vilken typ av myndighet som avses, t.ex. upphandlande myndighet.

3. Individ och myndighet i det digitala samhället

3.1. Den digitala världen är – global!

Regeringen konstaterade i skrivelsen om nationell strategi för informations- och cybersäkerhet1 att digitaliseringen är ett globalt fenomen och påverkar i stort sett alla delar av vårt samhälle. Det medför stora möjligheter, men också risker. Hur vi hanterar riskerna som följer av digitaliseringen har stor betydelse för vår förmåga att upprätthålla och stärka både vårt välstånd och vår säkerhet. I skrivelsen presenterade regeringen strategiska prioriteringar inom sex olika områden med syfte att motverka hot i form av avsiktliga angrepp från främmande makt, terrorgrupper och kriminell verksamhet.

Brottsförebyggande rådet (BRÅ) har konstaterat att den it-relaterade brottsligheten har ökat markant under senare år.2 Internationellt har även uppmärksammats hur digitala hjälpmedel använts för att påverka allmänna val.3

Digitaliseringen sätter gränser och formulerar villkor för såväl privata som offentliga aktörer. Ett begränsat antal företag dominerar de flesta marknader. Det gäller både hårdvara och mjukvara. E-tjänster riktade till allmänheten, såsom söktjänster och sociala medier, är i hög grad präglade av monopol. Tidskriften the Economist4 har jämfört de moderna globala informationsföretagen med oljeindustrin. I bägge fallen handlar det om att utvinna råvara och förädla den. Råvaran i informationsindustrin är de data individerna själva delar med sig av.

1 Skr. 2016/17:213. 2 https://www.bra.se/brott-och-statistik/kriminalstatistik/anmalda-brott.html. 3 Assessing Russian Activities and Intentions in Recent US Elections, The Central Intelligence Agency (CIA), The Federal Bureau of Investigation (FBI), and The National Security Agency (NSA), CA 2017-01D 6 January 2017. 4 The Economist Fuel of the future Data is giving rise to a new economy, 2017-05-06.

Förädlingen innebär att bearbeta dessa uppgifter och generera information om vanor, beteenden och värderingar. Dessa datamängder har ett mycket högt ekonomiskt värde för internetföretagen vilket är förklaringen till varför e-tjänster riktade till allmänheten ofta är gratis.

Offentliga myndigheter är i hög grad beroende av externa leverantörer av tjänster för it-drift. Inom vissa områden finns det få eller kanske endast en leverantör att tillgå.

Enligt Internetstiftelsen i Sverige har 82 procent av befolkningen över 12 år tillgång till en smartphone. I hälften av fallen handlar det om en Iphone.5 Det betyder att en stor majoritet av befolkningen har möjlighet att använda e-tjänster mobilt. När individer utnyttjar privata eller offentliga e-tjänster använder de verktyg som tillhandahålls av ett begränsat antal multinationella företag.

Digitaliseringen av förvaltningen innebär att myndighetsutövningen kommer att äga rum i en miljö där många faktorer endast i begränsad utsträckning är påverkbara av den nationella lagstiftaren. Även om motåtgärder kan vara möjliga på EU-nivå6 så gäller att de offentliga myndigheterna i hög grad får anpassa sig till vad marknadens globala aktörer erbjuder.

3.2. Elektronisk identifiering får ökad betydelse

Användningen av kontanter som betalningsmedel minskar drastiskt. År 2016 använde endast 15 procent av befolkningen kontanter vid sin senaste betalning. Motsvarande andel 2010 var 39 procent. Av befolkningen har 97 procent tillgång till bankkort, 85 procent har tillgång till internetbank och 61 procent har tillgång till betaltjänsten Swish.7 År 2015 hade alla landsting utom ett, två tredjedelar av kommunerna och en tredjedel av de statliga myndigheternas e-tjänster som

5 IIS, Svenskarna och internet 2016, s. 21, www.iis.se/docs/Svenskarna_och_inter-net_2016.pdf 6 Se t.ex. Europaparlamentets och Rådets förordning om åtgärder rörande en öppen internetanslutning, (EU) 2015/2120 av den 25 november 2015. Syftet med förordningen är bl.a. att skydda slutanvändare genom att fastställa gemensamma regler för att säkerställa att ickediskriminerande behandling av trafik vid tillhandahållandet av internetanslutningstjänster. 7 Riksbanken, Betalningsvanor hos det svenska folket, 2016.

krävde s.k. tvåfaktorsautentisering, dvs. när lösenord kombineras med ett särskilt medel för identifiering, t.ex. en mobiltelefon.8

I Sverige är vi starkt beroende av e-tjänster för att utföra grundläggande uppgifter som att betala räkningar och lämna deklarationer. Antalet tillfällen då den enskilda individen måste identifiera sig elektroniskt ökar därmed. I åldern 16–45 år utnyttjar mer än 80 procent av internetanvändarna mobilt BankID.9

Användandet av elektroniska identitetshandlingar skapar beroenden och sårbarheter. En elektronisk identitetshandling har begränsad giltighet och kan, på ett mobilt medium, lätt förloras. Den kan raderas av misstag eller i samband med en uppdatering av operativsystemet. Utsätts en mobiltelefon för väta eller annan skada kan all information på den gå förlorad. Återskapandet av en mobil identitetshandling från BankID kräver att individen loggar in hos sin bank, vilket kräver en reservmöjlighet att legitimera sig elektroniskt. Individen tvingas därför att skapa strategier för att minska risken att stå utan möjlighet att identifiera sig elektroniskt. Det kan handla om att ha elektroniska identitetshandlingar från samma utfärdare på flera enheter, vilket kan betyda flera mobila enheter. Det kan också handla om att sprida risken genom att ha elektroniska identitetshandlingar från flera utfärdare. För utfärdare gäller att man behöver tillhandahålla en alternativ möjlighet till säker inloggning, i bankernas fall att man måste fortsätta att tillhandahålla tekniker som används av få och som egentligen varit tänkt att fasas ut.

För individen kan det vara önskvärt att ha tillgång till en elektronisk identitetshandling som kan användas i alla sammanhang. Vardagstryggheten i det digitala samhället kan paradoxalt nog vara den motsatta, nämligen vikten av att ha tillgång till flera alternativa sätt att identifiera sig elektroniskt. Vidare väcks frågan om det inte behövs någon form av basidentitetshandling som är elektronisk, som alla kan få och som är mindre utsatt för de risker som finns med information lagrade på datorer och telefoner och som skulle kunna användas för att återskapa en förlorad elektronisk identitetshandling som lagrats på ett sådant medium.

8 RiR 2016:14, Riksrevisionen, Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning, s. 73. 9 IIS, Svenskarna och internet 2016, s. 75. www.iis.se/docs/Svenskarna_och_inter-net_2016.pdf

3.3. Med användaren i fokus

Den gemensamma strategin för företag och offentliga myndigheter är att presentera sina e-tjänster för användaren i ett gränssnitt av typen ”mina sidor”. Efter elektronisk identifiering kan användaren förutom att använda olika tjänster, ta del av vilka uppgifter tjänsten har och följa utvecklingen i pågående ärenden. Upplägget är självklart eftersom informationen kan individualiseras, det skapar överblick och det är användaren som bestämmer vem som ska ta del av informationen. Med allt fler tjänster från allt fler aktörer kan antalet ”mina sidor” som individen behöver bevaka bli en nära nog övermäktig uppgift.

För individen blir det därför viktigt att någonstans kunna samla sin information eller åtminstone ha en samlad kanal för notiser och påminnelser.10 Det kan handla om påminnelser via SMS och e-post. I Sverige finns i dag inget samlat stöd för offentliga myndigheter att skicka påminnelser via SMS och e-post utöver den som tillhandahålls inom ramen för Mina meddelanden. De individer som vill ha påminnelser får lämna kontaktinformationen till varje offentlig myndighet separat.

Fortfarande är det många som föredrar att spara viktiga papper i pärmar. Den enkät som utredningen lät genomföra för ett år sedan visade att det fortfarande är många (32 procent) som vill ha information från myndigheter via vanlig post. En stor grupp (28 procent) ville dessutom ha informationen både digitalt och på papper.11 Den som går över till digital arkivering vill troligen kunna spara kopior i en lättillgänglig form, dvs. lokalt i datorn eller i någon typ av molntjänst. För företag och offentliga myndigheter räcker det därför inte att enbart presentera information i ett gränssnitt lämpligt för bildskärm, mobiltelefon etc. Informationen måste också kunna presenteras på ett beständigt sätt som kan vara tillgänglig för individen även utan teknisk utrustning.

Med de elektroniska sökhjälpmedel som i dag finns tillgängliga brukar man säga att all världens kunskap ligger bara ett knapptryck bort. Om de offentliga myndigheterna har en webbsida så kommer individen att hitta den förr eller senare. I många länder finns dock

10 Mina sidor för privatpersoner. Slutrapport – Behovsanalys, rapport E-delegationen, 2010. 11SOU 2017:23, s. 331.

någon form av myndighetsportal. I Danmark finns bruger.dk och i Norge finns norge.no. I Sverige lades motsvarande portal ned i mars 2008 på grund av att den inte var tillräckligt känd och använd.12 På förslag från EU-kommissionen väntas under hösten 2018 beslutas om ett förslag till en gemensam europeisk myndighetsportal. Portalen riktar sig till individer och företag och ska innehålla länkar till nationella myndigheter.13 Detta kan medföra att frågan om en nationell portal i Sverige får en ny aktualitet.

Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.14 Den förra regeringen hade en liknande formulering15 vilket påverkade E-delegationen att ta fram riktlinjer för verksamhetsutveckling utifrån ett medborgarperspektiv, så kallad behovsdriven verksamhetsutveckling. Detta bygger på att individens behov av myndighetskontakter analyseras utifrån livshändelser. En bärande tanke är att offentliga myndigheters e-tjänster ska utformas och presenteras så att individen snabbt ska kunna hitta de tjänster man behöver kopplade till den situation man befinner sig i. eSam16som bildades efter E-delegationen har fortsatt utveckla vägledningar, riktlinjer och stöd för behovsdriven utveckling.17

Att tillhandahålla e-tjänster utifrån ett livshändelsebaserat perspektiv innebär åtskilliga utmaningar för de offentliga myndigheterna. Det väcker bl.a. frågor om standardisering av information och gemensamma informationslösningar. Det ställer krav på förmågan att beakta förhållanden utanför det egna ansvarsområdet och på myndigheternas förmåga att samverka.

12 Computer Sweden, Myndighetsportalen blev ett praktfiasko, 2007-05-24. 13 KOM (2017) 256 Förslag till Europaparlamentets och rådets förordning om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012. 14Prop. 2017/18:1, utgiftsområde 2, s. 93. 15 Med medborgaren i centrum, Regeringens strategi för en digitalt samverkande statsförvaltning, Näringsdepartementet, N2012.37. 16 eSam är ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL för att underlätta och påskynda digitaliseringen av det offentliga Sverige. 17 Vägledning för behovsdriven utveckling 1.0, eSam april 2016.

3.4. Utanförskap

Som framgår ovan är individer i Sverige starkt beroende av e-tjänster för att utföra grundläggande uppgifter som t.ex. att betala räkningar eller lämna deklarationer. För varje år ökar andelen individer som använder internet. Samtidigt är det viktigt att uppmärksamma att en stor del av allmänheten av olika skäl antingen inte vill eller har möjlighet att använda de tjänster som det digitala samhället och de offentliga myndigheterna erbjuder.

Regeringen bedömde i budgetpropositionen för 2018 att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i den offentliga förvaltningens kontakter med individer och företag. Digitalt som förstahandsval innebär alltså att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar. Digitalt först innebär enligt utredningens bedömning inte att de offentliga myndigheterna utan stöd i författning kan kräva att individer och företag ska vara digitala i sina kontakter med de offentliga myndigheterna. Däremot ska myndigheter erbjuda e-tjänster när det är lämpligt. Att erbjuda e-tjänster innebär dock inte att myndigheterna får utesluta andra kommunikationsvägar. Kravet på likvärdig service till dem som inte använder e-tjänster ska beaktas. Såvida inte något annat är föreskrivet i lag ska de offentliga myndigheterna i enlighet med den nya förvaltningslagens teknikneutrala krav på myndigheternas service och tillgänglighet se till att kontakterna med individer blir smidiga och enkla. Myndigheten ska lämna individen sådan hjälp att hon eller han kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, individens behov av hjälp och myndighetens verksamhet. Den ska ges utan onödigt dröjsmål. En myndighet ska vara tillgänglig för kontakter och informera allmänheten om hur och när sådana kan tas, både med digitala medel och via fysiska kontaktpunkter.18

Det är viktigt att lägga fast vissa principiella åtaganden för att inte i onödan stänga ute individer från de offentliga myndigheternas etjänster. Ett principiellt exempel är att eftersom allt fler av de statliga myndigheternas, kommunernas och landstingens e-tjänster kräver inloggning med elektronisk identitetshandling innebär det i dagsläget att individer riskerar att stängas ute från e-tjänster eftersom de

18Förvaltningslagen (2017:900).

inte har eller kan få en elektronisk identitetshandling. Orsaken till detta skiftar. Möjligheten att bruka elektroniska identitetshandlingar påverkas av vilken modell på utrustning och operativsystem som individen har. En individ kan förlora möjligheten att använda elektronisk identitetshandling därför att utrustningens tillverkare inte längre uppdaterar operativsystemet.

Det står dock klart att den digitala förvaltningen innebär att individernas tillgång till elektroniska identitetshandlingar måste säkerställas. Det måste därmed vara ett statligt åtagande att alla som behöver en elektronisk identitetshandling kan få det.

Sammantaget innebär digitaliseringen att vissa centrala värden, som t.ex. principen om likabehandling, aktivt måste värnas samtidigt som statsmakterna måste vara bredda att ompröva hittills gällande lösningar och uppsatta gränser för vad som ska anses vara det offentliga åtagandet.

4. En omstart för den offentliga förvaltningens digitalisering

Utredningen bedömer:

att regeringen genom en serie olika initiativ har markerat en tydlig

förändring av inriktningen av politiken för den digitala förvaltningen. Utredningen bedömer att det finns goda möjligheter att ta till vara de möjligheter digitaliseringen innebär samtidigt som utmaningarna kan hanteras.

I flera avseenden innebär initiativen en tydlig omprövning av tidigare ställningstaganden. Det som pågår kan därför beskrivas som en omstart av politiken för digitalisering inom den offentliga sektorn. De förslag som återges i detta betänkande, bygger vidare på dessa åtgärder och är avsedda att komplettera dem.

I budgetpropositionen för år 2015 aviserade den nuvarande regeringen sin satsning på att förstärka styrningen och samordningen av den övergripande it-användningen i statsförvaltningen. Digitaliseringen av den svenska offentliga förvaltningen skulle stimuleras. Satsningen skulle bidra till att nå målen för den digitala förvaltningen samt främja utvecklingen och användningen av gemensamma lösningar.1

4.1. En myndighet med samlat ansvar

I budgetpropositionen för år 2018 föreslog regeringen att en ny myndighet med uppgift att samordna och stödja den förvaltningsövergripande digitaliseringen ska inrättas. Förslaget överensstämmer med utredningens förslag i delbetänkandet digitalforvaltning.nu. Reger-

1Prop. 2014/15:1, utgiftsområde 2, s. 67.

ingen anför i uppdraget till organisationskommittén att den nya myndigheten medför förbättrade förutsättningar för en säker, effektiv och innovativ verksamhetsutveckling som utgår från användarnas behov. Den nya myndigheten som placeras i Sundsvall, ska inleda sin verksamhet den 1 september 2018 och övertar uppgifter från E-legitimationsnämnden, Ekonomistyrningsverket, Skatteverket, Post- och telestyrelsen, Riksarkivet och Tillväxtverket.

Myndigheten ska bistå regeringen med underlag för utvecklingen av politiken för digitalisering och it inom den offentliga sektorn och verka för en ökad digitalisering av den. Myndigheten ska bl.a. analysera och följa upp utvecklingen av den offentliga sektorns digitalisering utifrån riksdagens och regeringens övergripande mål på området. Vidare ska myndigheten ansvara för att samordna, utveckla, förvalta och tillhandahålla en nationell digital infrastruktur för den offentliga sektorn, samt främja dess användning. Myndigheten ska kunna meddela föreskrifter om nationell digital infrastruktur, såsom tillämpning av standarder, format och specifikationer för informationsutbyte, it-system och grunddata. Myndigheten ska samordna och stödja den offentliga sektorns arbete med användardriven verksamhetsutveckling. I detta ingår bl.a. stöd i samband med digitala investeringar.2

4.2. Samordnad organisation för statliga lokalkontor

Från och med den 1 januari 2019 ska Statens servicecenter ansvara för en samlad organisation för lokal statlig service. Uppdraget bygger på den rapport myndigheten lämnade till regeringen i mars 2017.3

Regeringen har gett en särskild utredare i uppdrag4 att analysera och föreslå hur vissa statliga myndigheters lokala serviceverksamheter kan organiseras på ett mer sammanhållet sätt för att säkerställa tillgången till grundläggande statlig service i hela landet. Serviceorganisationen ska bestå av en nationell ledningsfunktion och lokala kontor.

I uppdraget ligger också att ta ställning till bl.a. vilket serviceutbud som bör finnas vid de lokala kontoren. Utredaren skulle pre-

2 Dir 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn. 3 Statens servicecenter, En sammanhållen organisation för statlig lokal service, delrapport i regeringsuppdraget om samordning och omlokalisering av myndighetsfunktioner, R:006. 4 Dir. 2017:95.

sentera en plan för när de lokala kontoren ska kunna tillhandahålla service som avser Försäkringskassans, Pensionsmyndighetens och Skatteverkets verksamhet. Utredaren skulle även föreslå hur serviceorganisationen inledningsvis ska vara organiserad, dimensionerad och finansierad. Denna del av uppdraget redovisades i december 2017.5

Vidare ska ytredaren presentera en plan för när tillhandahållande av service som avser Arbetsförmedlingen, Migrationsverket och förarprovsverksamheten vid Trafikverket kan tillhandahållas vid de lokala kontoren samt vid behov föreslå ändringar i uppbyggnaden, dimensioneringen och finansieringen av den utökade serviceorganisationen. Vidare ska utredaren föreslå nödvändiga ändringar av Statens servicecenters instruktion och regleringsbrev. Uppdraget ska slutredovisas senast den 31 maj 2018.

Regeringen anser att lokal statlig service och digitala lösningar ska komplettera och understödja varandra. Om möjligt och lämpligt ska digitala lösningar vara förstahandsvalet i myndigheternas kontakter med individer och företag. Kontakterna mellan myndigheter och individer eller företag tas emellertid inte enbart via digitala lösningar, utan även genom personliga möten.

Statliga myndigheter kan – var och en för sig – inte upprätthålla en kostnadseffektiv kontorsnärvaro för att ge lokal service i hela landet. De servicekontor som Försäkringskassan, Pensionsmyndigheten och Skatteverket gemensamt driver har bidragit till att en lokal närvaro har kunnat upprätthållas på många platser. Vid de mindre kontoren är det dock svårt att ge service på ett kostnadseffektivt sätt. Regeringen bedömer att varken frivillig myndighetssamverkan eller en ny reglering om obligatorisk myndighetssamverkan är tillräckligt för att långsiktigt säkra en statlig service med förstärkt lokal närvaro i hela landet. Enligt regeringen krävs det i stället att en statlig myndighet ges i uppdrag att ansvara för en sammanhållen organisation för lokal statlig service.6

Enligt Statens servicecenters förslag ska lokalkontoren bygga på och komplettera, de samverkade myndigheternas e-tjänster. Kontoren ska tillhandahålla digital självservice av berörda myndigheters e-tjänster och e-guidning som syftar till hjälp till självhjälp. Kontoren ska även tillhandahålla muntlig direktservice av enklare karaktär

5SOU 2017:109, Servicekontor i ny regim. 6 Dir. 2017:95 s. 7.

samt digitala och fysiska möten med handläggare från berörda myndigheter.7

4.3. Översyn av rättsliga förutsättningar för en digitalt samverkande förvaltning

En särskild utredare har regeringens uppdrag8 att kartlägga och analysera i vilken utsträckning det finns lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Utredaren ska lämna förslag till de författningsändringar som sammantaget bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Skyddet av den personliga integriteten och andra sekretesskäl samt informationssäkerhet och rättssäkerhet ska vägas in i förslagen.

Utredaren ska vidare analysera den pågående digitala utvecklingen utifrån ett rättsligt perspektiv. Detta för att skapa en förståelse för vilka områden och företeelser som i förlängningen kommer att kräva lagstiftningsåtgärder för att de möjligheter som digitaliseringen och den tekniska utvecklingen skapar för den offentliga förvaltningen ska kunna tas till vara.

Utredaren ska också analysera och lämna förslag till hur den offentliga förvaltningen som helhet kan samverka om behovet av ny eller ändrad lagstiftning för att främja digitaliseringen av förvaltningen, och lämna förslag till andra åtgärder som syftar till att skapa bättre förutsättningar för hantering av rättsliga utmaningar inom detta område. Uppdraget ska redovisas senast den 31 mars 2018.

7 Statens servicecenter, En sammanhållen organisation för statlig lokal service, delrapport i regeringsuppdraget om samordning och omlokalisering av myndighetsfunktioner, R:006, s. 43 f. 8 Dir. 2016:98.

4.4. En expertgrupp för digitala investeringar

Regeringen har inrättat en särskild expertgrupp med uppdrag9 att stödja myndigheter som avser att göra större strategiska verksamhetsinvesteringar i immateriella anläggningstillgångar med väsentliga inslag av it och digitalisering. Uppdraget omfattar ett urval investeringar hos ett tjugotal myndigheter.

Syftet med expertgruppen är att statliga myndigheter ska bli bättre på att genomföra verksamhetsutveckling och snabbare uppnå önskade resultat av politiska reformer eller förändrade uppgifter.

Expertgruppen ska verka för att statliga myndigheter dels utvecklar den interna styrningen och kontrollen av sin it-verksamhet, dels förbättrar hanteringen av risker vid större investeringar med väsentliga inslag av it och digitalisering. Expertgruppen ska bidra till kunskapsbyggande, erfarenhetsutbyte och lärande inom den offentliga sektorn så att statens samlade kompetens tas tillvara.

Expertgruppens uppdrag kommer att tas över av digitaliseringsmyndigheten.10

4.5. Skärpta krav och rutiner för svenska identitetshandlingar

För att minska det ökande antalet bedrägerier som begås med hjälp av förfalskade identitetshandlingar har regeringen tillsatt en särskild utredare11 med uppdraget att föreslå hur antalet identitetshandlingar ska begränsas och särskilt överväga om det bör regleras i författning vilka handlingar som ska vara giltiga identitetshandlingar, och vilka krav som ska ställas på en giltig identitetshandling. Vidare ska utredaren föreslå hur antalet utfärdare av identitetshandlingar ska begränsas samt lämna förslag på utfärdare.

Utredaren ska analysera behovet av en enhetlig reglering av giltiga identitetshandlingar när det gäller processen för ansökan, bakgrundskontroll av den sökande, tillverkning av den fysiska handlingen och utlämnande av handlingen. Utredaren ska kartlägga hur verifieringen

9 Dir. 2017:62. 10 Dir. 2017:117. 11 Dir. 2017:90.

av identitetshandlingars äkthet och giltighet görs i dag och lämna förslag på förbättringar.

Slutligen ska utredaren analysera och ta ställning till om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå. Uppdraget ska redovisas senast den 29 mars 2019.

4.6. Nationell strategi för informations- och cybersäkerhet

Regeringen har presenterat en nationell strategi för hur informations- och cybersäkerheten i Sverige ska utvecklas och stärkas.12I strategin sätter regeringen upp målsättningar inom sex prioriterade områden:

  • Säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet.
  • Öka säkerheten i nätverk, produkter och system.
  • Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter.
  • Öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet.
  • Öka kunskapen och främja kompetensutvecklingen.
  • Stärka det internationella samarbetet.

Målsättningarna ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet, samt höja medvetenheten och kunskapen i hela samhället.

I anslutning till strategin beslutade regeringen om ett antal myndighetsuppdrag.

Regeringen har uppdragit åt Myndigheten för samhällsskydd och beredskap (MSB) att, i samverkan med Sveriges kommuner och landsting (SKL), E-hälsomyndigheten och Socialstyrelsen, kartlägga och

12 Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.

analysera informationssäkerhetsarbetet inom landstingens hälso- och sjukvårdsverksamhet. Uppdraget ska redovisas senast 1 oktober 2018.13

Regeringen har vidare uppdragit åt MSB att verka för att de privat-offentliga samarbetsformerna stärks. I uppdraget ingår att bedöma vilka branscher och sektorer som bör prioriteras. Uppdraget ska redovisas senast den 1 mars 2018 och av redovisningen ska det framgå vilka åtgärder MSB har vidtagit, och vilken effekt dessa har haft samt, vilka ytterligare åtgärder MSB planerar att vidta.14

Länsstyrelserna och vissa andra myndigheter har, enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, ett särskilt ansvar för att planera och vidta förberedelser för att skapa förmåga att hantera en kris, förebygga sårbarheter och motstå hot och risker.15 Dessa myndigheter ska senast den 1 mars 2018 till regeringen och MSB redovisa en analys och bedömning av informationssäkerheten i de delar av den egna verksamheten som är nödvändiga för att myndigheten ska kunna utföra sitt arbete. I sammanhanget ska krisberedskapsperspektivet samt planeringen för det civila försvaret beaktas.16

Av redovisningen av uppdraget ska det framgå hur myndigheten bedömer informationssäkerheten, vilka hot, sårbarheter och risker som har identifierats samt vilka åtgärder som har vidtagits, respektive kommer att vidtas, i syfte att reducera dessa.17

MSB ska, i samverkan med Försvarsmakten och Säkerhetspolisen, senast den 1 oktober 2018 redovisa en sammanvägd rapport utifrån dessa rapporter.18

4.7. En ny säkerhetsskyddslag

Regeringen lämnat ett förslag till lagrådet om en ny säkerhetsskyddslag. Den nya lagen ska gälla för alla som bedriver verksamhet som gäller Sveriges säkerhet, vare sig det är i offentlig eller privat regi. Den nya lagen förtydligar kraven på skydd av verksamheter som

13 Ju2017/05789/SSK. 14 Ju2017/05789/SSK. 15 Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. 16 Ju2017/05644/SSK. 17 Ju2017/05787/SSK. 18 Ju2017/05788/SSK.

har betydelse för Sveriges säkerhet och ökar skyddet mot bland annat spioneri och sabotage. Den omfattar bland annat krav på skydd av itsystem som har betydelse för Sveriges säkerhet och den innebär tydligare krav på att skydda utländska intressen som Sverige har åtagit sig.

Kraven på verksamheterna som berörs av lagen förtydligas. Verksamhetsutövarna ska göra en säkerhetsskyddsanalys och utifrån den vidta de åtgärder som behövs – det kan gälla informationssäkerhet, skydd av lokaler och anläggningar samt kontroll av personal. Såväl offentliga som privata aktörer kan söka stöd och råd från tillsynsmyndigheterna Säkerhetspolisen och Försvarsmakten.

Lagen och följdändringarna föreslås träda i kraft den 1 januari 2019.19

4.8. Utkontraktering och samordning av it-drift

Regeringen har remitterat en promemoria20 med förslag till begränsningar i de statliga myndigheternas möjligheter att utkontraktera och överlåta säkerhetskänslig verksamhet. Enligt förslaget ska en statlig myndighet, som avser att genomföra en sådan utkontraktering av den egna verksamheten som innebär krav på säkerhetsskyddsavtal enligt säkerhetsskyddslagen, utföra en särskild säkerhetsanalys av uppdraget och samråda med den tillsynsmyndighet (Säkerhetspolisen eller Försvarsmakten) som är berörd innan ett förfarande för utkontraktering inleds.

Vidare har regeringen tillsatt en särskild utredare21 för att kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning.

Utredaren ska vidare föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen samt hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad.

19 Lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, november 2017. 20 Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4. 21 Dir. 2017:32, Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhetsskydd.

Regeringen har gett Försäkringskassan i uppdrag22 att åren 2017– 2020 erbjuda vissa myndigheter en samordnad och säker it-drift. Det övergripande syftet är att pröva och utvärdera former för samordnad och säker it-drift för lämpliga myndigheter. En delredovisning av hur uppdraget ska genomföras ska lämnas till regeringen senast den 30 november 2017. Delredovisningen ska innefatta en verksamhetsplan för 2018–2020. Dessutom ska de myndigheter som beslutat att inleda ett samarbete med Försäkringskassan redovisas. Ytterligare delredovisningar av hur arbetet fortlöper ska lämnas efter samråd med Finansdepartementet.

Försäkringskassan ska lämna en slutredovisning till regeringen senast den 18 december 2020. Slutredovisningen ska innehålla en beskrivning av vilka åtgärder som genomförts inom ramen för uppdraget, uppnådda effekter samt risker och eventuella hinder som identifierats.

4.9. Offentlig samverkan

Den 29 oktober 2015 beslöt regeringen att skriva under en avsiktsförklaring mellan staten och SKL för en digital förnyelse av det offentliga Sverige.23 Avsiktsförklaringen anknyter till regeringens inriktning om digitalt först. Den 19 januari 2017 godkände regeringen en med SKL gemensam handlingsplan för utveckling av e-hälsoområdet.24Regeringen har gett ett antal myndigheter tidsbegränsade utvecklingsuppdrag inom områdena samhällsbyggnad, jordbruksproduktion, miljöskydd och företagande. Livsmedelsverket har fått ett särskilt uppdrag att verka för digitalisering inom ramen för regeringens livsmedelsstrategi. Skolverket har fått i uppdrag att utveckla en digital lösning för de nationella proven. Sammantaget pågår det åtskilliga statliga utvecklingsprojekt som berör kommunernas uppgifter i olika grad.

SKL har vidtagit åtskilliga åtgärder för att stödja kommunernas digitalisering. Företaget Inera AB som tidigare levererat e-tjänster främst inom landstingens ansvarsområde, Vårdguiden t.ex., har fått ett vidgat ägande och kommer att erbjuda tjänster också för kommunerna.

22 Uppdrag att erbjuda samordnad och säker statlig it-drift Fi2017/03257/DF. 23 Dnr N2015/07455/EF. 24 Dnr S2017/00379/FS.

Kommunutredningen har i ett delbetänkande föreslagit att en kommun eller ett landsting får träffa avtal om att dess uppgifter helt eller delvis ska utföras av en annan kommun eller ett annat landsting. Genom ett sådant avtal får en kommun eller ett landsting utföra uppgifter åt en annan kommun eller landsting utan hinder av lokaliseringsprincipen. Kommunutredningen bedömer att det finns ett behov av att kunna samverka framför allt i fråga om specialisttjänster som innefattar myndighetsutövning, it och digitalisering samt administration.25

4.10. Omstart

Som beskrivits i utredningens delbetänkande byggde politiken för den digitala förvaltningen under lång tid på centraliserade lösningar.26 Statskontoret hade ett övergripande ansvar och förfogade en period över anslaget för it-investeringar. Med de förvaltningspolitiska reformerna under 1980- och 1990-talen begränsades denna roll successivt. År 2008 lades den myndighet, Verva, som övertagit vad som återstod av den centrala samordningen ned. Förslaget kom från Stabsstödsutredningen som menade att e-förvaltningen borde utvecklas i en federativ inriktning där de stora och resursrika myndigheterna, som Skatteverket och Försäkringskassan i nära samverkan med Regeringskansliet, bildade stommen. På så sätt skulle Sverige ”välja en annan och mer flexibel väg på e-förvaltningens område än vad till exempel en del av våra grannländer gjort då man anammat mer centralstyrda modeller”.27

Inrättandet av digitaliseringsmyndigheten innebär en påtaglig förändring av vad som gällt under det senaste decenniet. Den nya myndigheten kommer att ha ett större ansvar och en starkare roll än vad Verva hade, men å andra sidan inte den nästan enväldiga position som Statskontoret en gång hade. E-delegationen och eSam har på många sätt framgångsrikt fyllt ut tomrummet. De nya utmaningarna som digitaliseringen medför innebär förändringar i strukturer och strategier.

25SOU 2017:77 En generell rätt till kommunal avtalssamverkan, delbetänkande av Kommunutredningen. 26SOU 2017:23 digitalforvaltning.nu. 27SOU 2008:22 Ett stabstöd i tiden, s. 97.

En sådan utmaning är att många e-tjänster förutsätter stödfunktioner av infrastrukturkaraktär som inte kan hanteras inom ramen för traditionell samverkan mellan statliga myndigheter. En annan utmaning är att det legala ramverket och den digitala verkligheten måste anpassas till varandra. Dessutom måste sådant arbete förhålla sig till en samtidigt pågående digitalt driven utveckling inom EU.

Den ökade medvetenheten om digitaliseringens risker stryker under behovet av samordning och centrala funktioner med specifik kompetens och koordineringsuppgifter. Detsamma gäller tillvaratagandet av möjligheterna att hushålla väl med allmänna medel i samband med it-drift, upphandling och verksamhetsutveckling.

Det digitala samhället kan emellertid inte avstå från analoga kanaler. Dels kommer en stor grupp människor även i fortsättningen stå utanför på grund av funktionshinder, ålder, ekonomiska barriärer eller bristande intresse, dels finns det behov av analoga reservlösningar när de digitala temporärt inte är tillgängliga. Den nya organisationen för statliga lokalkontor är där en viktig komponent.

För att kommunerna ska klara av den digitala omställningen är det viktigt att det finns gemensamma lösningar och möjlighet till samverkan mellan kommunerna som inte förutsätter inrättandet av särskilda strukturer. Förslaget till samverkansavtal är därför en annan viktig förutsättning för att bygga ut den digitala förvaltningen.

En annan viktig del är systemet för elektronisk identifiering. Överväganden om detta redovisas senare i detta betänkande. Här ska dock konstateras att de fysiska identitetshandlingarnas kvalitet och processen för att fastställa individers identitet är av avgörande betydelse för den elektroniska identiteten. Grundidentifiering i samband med utfärdande av fysiska id-handlingar har avgörande betydelse för elektroniska identitetshandlingars tillförlitlighet.

Sammanfattningsvis innebär regeringens initiativ i många fall en betydande omprövning av tidigare ställningstaganden som präglat politiken för den digitala förvaltningen under lång tid.

Flera viktiga komponenter tillförs eller förändras. När de är på plats och börjar verka är det befogat att tala om en omstart av politiken för digital förvaltning.

5. Effektiv styrning av en samverkande förvaltning

5.1. Om samverkan – möjligheter och befogenheter

Utredningen bedömer:

att de offentliga myndigheterna i sitt digitaliseringsarbete måste

ha stöd i rättsordningen för sina åtgärder. Behoven av samverkan mellan olika aktörer inom ramen för initiativ, utveckling och förvaltning av nationella digitala tjänster skiljer sig åt mellan olika skeden av livscykeln.

I de fall det förväntade digitaliseringsarbetet i samverkan med andra och resultatet av detta inte ryms inom myndigheternas befintliga uppdrag och befogenheter, måste det uppmärksammas så att regeringen och i förekommande fall riksdagen kan vidta åtgärder för att ändra myndigheternas uppdrag och befogenheter.

För att främja utvecklingen av den offentliga sektorns digitalisering behöver institutionaliserade forum för frivillig samverkan mellan de olika aktörerna inrättas. Det är en lämplig uppgift för den kommande digitaliseringsmyndigheten att tillhandahålla sådana. Digitaliseringsmyndigheten bör tilldelas särskilda anslagsmedel för sådan samverkan.

Utredningen föreslår:

att regeringen – i ljuset av de verksamhetsmässiga begränsningar

för samverkan som gällande bestämmelser medför – i förordningen om statliga myndigheters elektroniska informationsutbyte ska reglera att statliga myndigheter i frågor om digitalisering av den offentliga förvaltningen, vid behov, får samverka även utanför sina vanliga verksamhetsområden.

Förslaget genomförs genom 2 a § i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.

att digitaliseringsmyndigheten tilldelas särskilda anslagsmedel

för frivillig samverkan mellan olika aktörer för att främja den offentliga sektorns digitalisering.

De nationella digitala tjänsterna ska kunna användas inom hela den offentliga sektorn och syftar till att underlätta elektronisk hantering av ärenden och kontakter med enskilda. Exempel på sådana befintliga tjänster är Mina meddelanden och Svensk e-legitimation. Tjänsterna ska utvecklas utifrån medborgarnas behov, vilket förutsätter en bred och omfattande samverkan mellan statliga myndigheter, mellan kommunala myndigheter, mellan stat och kommun samt mellan offentlig och privat sektor.1

Utredningen ska lämna förslag till effektiv styrning av förvaltningsgemensamma digitala funktioner i en samverkande förvaltning. Uppdraget är ett av flera regeringsinitiativ som signalerar en övergång från en digital förvaltningsutveckling huvudsakligen driven genom myndighetssamverkan till en där regeringen tar en mer aktiv och drivande roll. Denna förändring ändrar dock inte den grundläggande betydelse som samverkan har i sammanhanget. Behovet av samverkan mellan statliga myndigheter minskar inte. Samverkan mellan stat, kommun och landsting måste förstärkas i väsentlig grad. Samverkan mellan offentlig och privat verksamhet har varit avgörande för att inleda uppbyggnaden av den nationella digitala infrastrukturen och kommer att fortsätta vara lika viktig.

En viktig fråga i detta sammanhang är vad som avses med begreppet samverkan. Begreppet återkommer i lagar och andra författningar, i särskilda uppdrag och myndighetsinstruktioner, i strategier och avsiktsförklaringar, regleringsbrev m.m. och kan vara generellt eller specifikt och samverkan kan vara frivillig eller obligatorisk. Även om begreppet således ofta används är det svårt att hitta en beskrivning av vad begreppet innebär – i praktiken – och vilka förväntningar givet det formella regelverket som kan ställas på dem som förväntas samverka. Till skillnad från denna något diffusa bild vad gäller statsförvaltningen är kommunallagens bestämmelser om hur samverkan mel-

1 Dir. 2016:39, Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning.

lan kommuner och mellan landsting kan formaliseras och genomföras formellt och i praktiken väsentligt tydligare.2

5.2. Samverkan i ett livscykelperspektiv

Av direktiven framgår att utredningen, bl.a. med utgångspunkt i Mina meddelanden och Svensk e-legitimation, ska analysera skillnaderna mellan hur ansvaret för olika befintliga nationella digitala tjänster är fördelat i dag och alternativ till detta.

Analysen ska utgå från ett livscykelperspektiv för de nationella digitala tjänsterna. Det handlar bland annat om att lämna förslag om hur samverkan och kravställning, eller vidareutveckling av nationella digitala tjänster, ska analyseras utifrån ett livscykelperspektiv, där hela kedjan från utveckling till avveckling ska beaktas.

Begreppet livscykel kommer i det följande att användas såsom det definieras i E-delegationens vägledning för nyttorealisering.3 Perspektivet är en produkts, tjänst eller systems hela livslängd från idé/koncept till utveckling, produktion, drift, underhåll och avveckling.4 Utredningen väljer att kalla den del av livscykeln som handlar om produktion, drift och underhåll för förvaltningsstadium. Utredningen behandlar inte frågan om avveckling i samverkan.

5.2.1. Samverkan om idé och utveckling

En process som leder till införande eller förändring av ett digitalt medel inom offentlig verksamhet kan inledas huvudsakligen på fyra sätt.

  • Det kan vara en direkt konsekvens av en reform. När premiepensionen infördes krävde det ett helt nytt stöd för att presentera fondvalsalternativ för pensionsspararna. En reform kan också initieras inom Europeiska Unionen. En följd av eIDAS-förordningen är till exempel införandet av en nod för att förmedla gränsöverskridande digital trafik mellan myndigheter och ID-certifikatutfärdare.

2Kommunallagen (2017:725). 3 E-delegationen, version 2.0, Vägledning i nyttorealisering. 4 A.a.

  • Det kan uppkomma som en följd av regeringens övergripande ambitioner vad gäller resurshushållning och effektivisering. Ett exempel på detta är inrättandet av Statens servicecenter som stödjer statliga myndigheter vad gäller personal- och ekonomiadministration.
  • Myndighetens eget arbete med att utveckla sin verksamhet leder givetvis också till framtagande och utveckling av digitala medel. Styrelsen för ackreditering och kontroll, SWEDAC, införde 2004 en fullständigt digital dokumenthantering och digitaliserade helt sitt tillsynsarbete.
  • Behovet kan också identifieras genom samverkan mellan myndigheter och mellan myndigheter och kommuner. Myndigheterna kan identifiera samma behov eller finna att man utifrån olika behov har användning för en gemensam digital lösning. Det kan också vara så att myndigheter har olika roller i en och samma handläggningsprocess och ser fördelar med att digitalisera processen. Mina meddelanden och projektet E-identitet för offentlig sektor5 är exempel på lösningar av det förstnämnda fallet och SSBTEK6 ett exempel på det sistnämnda.

Processer som leder till utveckling av digitala medel kan inledas på olika sätt. Även om genomförandet bygger på regeringsuppdrag, fordrar lagstiftning och resurstilldelning så kan den viktiga impulsen till förändringen många gånger härledas till samverkan på myndighetsnivå eller samverkan mellan stat och kommun. Även om samverkan inte alltid leder till etablerandet av en infrastrukturtjänst så är samverkan en viktig källa till utvecklandet av sådana.

E-delegationen var under ett antal år huvudkanalen för samarbete mellan myndigheterna. När delegationens regeringsuppdrag upphörde 2014 ersattes den av ett frivilligt samarbete i form av eSamverkansprogrammet (eSam). Medan samarbetet i E-delegationen hade en formell grund, saknar eSam en sådan.

I delbetänkandet underströk utredningen att det finns anledning att inspireras av, ta tillvara och i någon form behålla och utveckla de

5 Projekt gemensamt för Försäkringskassan och Inera AB. Avses kunna bli en tjänstelegitimation för både stat, kommun och landsting. 6 Digital tjänst för ekonomiskt bistånd.

arbetsmodeller som skapades inom ramen för E-delegationens uppdrag och bevarats inom ramen för eSam.

Utredningens förslag till instruktion för digitaliseringsmyndigheten innefattade uppgifter att stödja samverkan mellan statliga myndigheter, mellan statliga myndigheter och kommuner och mellan offentliga myndigheter och näringslivet i det digitala utvecklingsarbetet. En annan uppgift var att myndigheten i samverkan med relevanta offentliga myndigheter och aktörer skulle verka för informations- och erfarenhetsutbyte om den nationella digitala infrastrukturen och nationella digitala tjänster för att förenkla för enskilda och företag och säkerställa en effektiv och ändamålsenlig offentlig förvaltning.

Enligt förslaget skulle myndigheten även samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.

Av uppdraget till organisationskommittén7 för digitaliseringsmyndigheten framgår att en utgångspunkt för myndighetens arbete ska vara att i lämpliga delar ta tillvara kunskap och erfarenheter som eSam upparbetat, bl.a. avseende metoder och processer för samverkan. Myndigheten ska verka för en öppnare förvaltning som stödjer innovation och delaktighet, genom att bl.a. statliga myndigheter, kommuner och landsting tillgängliggör öppna data, med beaktande av de skyddsbehov som beskrivits ovan. Myndigheten ska vidare främja öppen och datadriven innovation i den offentliga sektorn.

Myndigheten ska samordna och stödja den offentliga sektorns arbete med användardriven verksamhetsutveckling. I detta ingår bl.a. stöd i samband med digitala investeringar. Inom myndigheten ska det finnas ett rådgivande organ som ska bistå myndighetschefen i strategiska frågor rörande myndighetens verksamhet och vid framtagande av föreskrifter. I rådet ska representanter för statliga myndigheter, kommuner och landsting, SKL, samt Sveriges Standardiseringsförbund ingå. Utredaren ska även lämna förslag till kompetensprofil för ledamöterna i det nämnda organet.

Utredningen anser att det är viktigt att ta till vara det engagemang, den innovationskraft och den verksamhetsnära kunskap som finns hos myndigheterna, däribland såväl de stora it-tunga myndig-

7 Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.

heterna som små och medelstora myndigheter, kommuner och landsting.

Det är viktigt att frivillig samverkan och erfarenhetsutbyte mellan statliga myndigheter, kommuner och landsting är formellt möjlig och stimuleras. Utredningen menar därför att för att främja utvecklingen av den offentliga sektorns digitalisering behöver institutionaliserade forum för frivillig samverkan mellan de olika aktörerna inrättas. Utredningen anser att det är en lämplig uppgift för den kommande digitaliseringsmyndigheten att tillhandahålla sådana. Utredningen anser även att digitaliseringsmyndigheten ska tilldelas särskilda anslagsmedel för sådan samverkan.

Utredningen anser vidare att givet begränsningarna för samverkan enligt gällande bestämmelser finns det ett stort behov av att kunna meddela föreskrifter som avviker från den allmänna regleringen i förvaltningslagen. Utredningen föreslår därför att regeringen – i ljuset av de verksamhetsmässiga begränsningar för samverkan som gällande bestämmelser medför – i förordningen om statliga myndigheters elektroniska informationsutbyte ska reglera att statliga myndigheter får samverka utanför sina verksamhetsområden i frågor om digitalisering av den offentliga förvaltningen.

5.2.2. Samverkan i ett förvaltningsstadium

Effektiv styrning och samverkan i ett förvaltningsstadium innebär, enligt utredningen, att riksdagen och regeringen har fattat beslut om en förvaltningsgemensam digital funktion8 och de samverkande aktörernas olika roller, ansvar och uppgifter är formaliserade och utformade så att samverkan är möjlig och leder till de önskade effekterna. I sitt remissvar över Förvaltningslagsutredningens betänkande lyfte E-delegationen frågan om förutsättningarna för samverkan mellan myndigheter för att främja e-förvaltningen. Se nedan.

Enligt utredningen behöver regeringen särskilt analysera och bedöma om förväntningarna på och eller behovet av samverkan ryms inom ramen för de möjligheter och begränsningar som bl.a. förvaltningslagen, myndighetsförordningen och förordningen om de stat-

8 Se resonemang i kapitel 6 om begreppen nationella digitala tjänster och förvaltningsgemensamma digitala funktioner.

liga myndigheternas elektroniska informationsutbyte medger. Här kan det eventuellt finnas anledning för regeringen att ompröva förväntningarna på och/eller behoven av samverkan mellan myndigheter, eller bedöma om det finns anledning att överväga specialreglering. Se nedan om avvikande bestämmelser i andra lagar eller i förordningar.

5.3. Samverkan enligt förvaltningslagen

I september 2017 fattade riksdagen beslut om en ny förvaltningslag som träder i kraft den 1 juli 2018. I sitt förslag till den nya förvaltningslagen anförde regeringen att det är angeläget att ge en klar signal om att all offentlig verksamhet – oavsett dess karaktär – ytterst måste grundas på skrivna regler i rättsordningen. Regeringen refererade till Förvaltningslagsutredningens genomgång av praxis som gav

en klar indikation på att myndigheterna inte alltid i tillräcklig utsträckning tar reda på om att de har stöd i rättsordningen för sina åtgärder. Utvecklingen från en mer klassisk förvaltning mot en förvaltning med ökade inslag av informationsuppgifter och mera kundrelaterade aktiviteter, t.ex. i form av olika digitala självbetjäningstjänster, har också inneburit ökade risker i detta avseende. Det är därför angeläget att ge en klar signal om att all offentlig verksamhet, oavsett dess karaktär, ytterst måste grundas på skrivna regler i rättsordningen (prop. 1973:90 s. 397). Skiljelinjen mellan privaträttsliga subjekts principiella rätt till ett fritt agerande och myndigheternas skyldighet att fullgöra bestämda uppgifter i det allmännas tjänst bör alltså tydligt markeras.9

Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna. Enligt den ännu gällande förvaltningslagens bestämmelser gäller, om samverkan mellan myndigheter, att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten.10

I den nya förvaltningslagen11 finns motsvarande bestämmelse under rubriken Grunderna för god förvaltning.12 Bestämmelsen lyder på följande sätt:

9Prop. 2017/18:180, s. 58. 106 § förvaltningslagen (1998:223). 11Förvaltningslagen (2017:900). 12 8 § Grunderna för god förvaltning, Samverkan, förvaltningslagen (2017:900).

En myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter. En myndighet ska i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter.13

Förvaltningslagsutredningen14 anförde – om samverkan – att alla myndigheter, både statliga och kommunala, verkar på det ena eller andra sättet i ”det allmännas” och därmed också i ”allmänhetens” tjänst. Det är alltså väsentligt att deras samlade ansträngningar riktas mot det gemensamma målet att erbjuda medborgarna goda och rättvisa levnadsvillkor. Förvaltningslagsutredningen menade att det förutsätter att en myndighet inte ser sin uppgift som strikt isolerad från vad en annan myndighet sysslar med utan att båda gör vad de kan för att underlätta för varandra. Denna tanke, som kom till uttryck i den klassiska formuleringen i 47 § i 1809 års regeringsform att myndigheterna ska ”räcka varandra handen”, avspeglas i modern tappning i 6 § i den nu gällande förvaltningslagen.

Enligt Förvaltningslagsutredningen hade dock den nuvarande förvaltningslagens samverkansbestämmelse fått en utformning, som delvis döljer bestämmelsens dubbla syfte.

Att ”varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten” leder, enligt Förvaltningslagsutredningen, tankarna till att det främst är fråga om ett internt inom administrationen lämnat bistånd, avsett att t.ex. minska konsekvenserna av en ojämn medelstilldelning eller att tillföra en myndighet någon särskild sakkunskap som den saknar men en annan myndighet besitter. Någon antydan ges inte om att syftet också är att enskilda genom att myndigheterna samarbetar ska besparas ett tidsödande arbete med att vid flera tillfällen själv konsultera flera myndigheter i ett och samma ärende.

Förvaltningslagsutredningen föreslog därför att det budskap som 6 § i den ännu gällande förvaltningslagen får anses innefatta, skulle överföras till en bestämmelse i den nya lagen.

För det första ville Förvaltningslagsutredningen tona ned intrycket av att det är fråga om en mera tillfällig ”hjälp”, som en myndighet kan erbjuda en annan i ett trängt läge, genom att tala om att myndigheterna mera generellt ska ”samverka” med varandra.

138 § förvaltningslagen (2017:900). 14SOU 2010:29, En ny förvaltningslag, betänkande av Förvaltningslagsutredningen.

För det andra ville Förvaltningslagsutredningen ge en klar indikation på att denna samverkan är avsedd att underlätta för individen i kontakterna med myndigheterna. Detta genom att i ett nytt stycke, som saknar motsvarighet i 6 § i den ännu gällande förvaltningslagen, föreskriva att en myndighet ”i den utsträckning som kan anses rimlig bistå den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter”. En liknande bestämmelse återfinns nu bland de ”allmänna krav på handläggningen av ärenden” som uppställs i 7 § den ännu gällande förvaltningslagen, men Förvaltningslagsutredningen ville alltså se en sådan regel som ett inslag i den service som myndigheterna generellt, inte bara då det är fråga om formlig ärendehandläggning, ska erbjuda.

5.3.1. Myndigheterna samverkar inom sina respektive verksamhetsområden

Det är, enligt Förvaltningslagsutredningen, väsentligt att understryka, att samverkan mellan myndigheterna ska försiggå inom deras respektive verksamhetsområden och att det däri ligger två begränsningar.

För det första måste en myndighet naturligtvis prioritera sina egna huvuduppgifter och är inte – såsom Förvaltningslagsutredningen uttryckte det – tvingad att släppa vad den har för händer så snart en annan myndighet begär assistans. Det är alltid myndigheten själv som avgör, om den kan avsätta resurser för att bistå den andra myndigheten i dess verksamhet.

För det andra ger bestämmelsen inte stöd för några samverkansprojekt som faller utanför respektive myndighets verksamhetsområde. Det är, enligt Förvaltningslagsutredningen, viktigt att poängtera, att myndigheternas verksamhet enligt legalitetsprincipen styrs av de regler om arbetsuppgifterna som lagstiftaren eller annan normgivare beslutat. Några nyskapelser i form av särskilda samarbetsorgan, som oberoende av fastlagda normer tillåter sig att fatta beslut som svårligen kan härledas till den ena eller andra av de samverkande myndigheterna, får inte förekomma.15

15SOU 2010:29, En ny förvaltningslag, betänkande av Förvaltningslagsutredningen.

5.3.2. E-delegationens remissvar och regeringens argumentation för förslaget till bestämmelse om samverkan

E-delegationen tillstyrkte i sitt remissvar16 utredningens förslag i stort men hade synpunkter i vissa delar som rörde förutsättningarna att främja e-förvaltningen, bl.a. samverkan mellan myndigheter.

E-delegationen menade att förslaget till bestämmelse om samverkan inte hade beaktat e-förvaltningens behov av samverkan mellan myndigheter. Enligt E-delegationen måste en ny förvaltningslag på ett mycket tydligare och kraftfullare sätt, med utgångspunkt i behov som är gemensamma för förvaltningen, betona myndigheternas skyldighet att samverka med varandra. Även krav på samverkan med näringslivet borde, enligt delegationens mening, komma till uttryck i en ny förvaltningslag. Utformningen av bestämmelsen främjade, enligt E-delegationen, inte tillräckligt att myndigheter samverkar med varandra för att tillgodose samhällsgemensamma behov.

Det är därmed i praktiken myndigheten som utifrån sina egna intressen får bedöma om samverkan kan anses rymmas inom dess verksamhetsområde. Utformningen befäster ett s.k. stuprörstänkande. Begränsningen till verksamhetsområdet borde, enligt delegationens mening, tas bort. Det borde vara de samverkande parternas uppgift att i samband med genomförande av gemensamma förstudier m.m. överväga vilka ekonomiska, legala och andra förutsättningar som måste komma på plats inför olika steg i en samverkansprocess.

Vidare ansåg delegationen att krav på samverkan även med andra än myndigheter borde ingå i en ny förvaltningslag eftersom e-förvaltningen inte kan utvecklas utan att företagens och marknadens förutsättningar respekteras och tas tillvara. E-delegationen ville i sammanhanget särskilt fästa uppmärksamhet på regeringens nationella handlingsplan för den svenska e-förvaltningen från maj 2008 (regeringens e-handlingsplan) och regeringens förvaltningspolitiska proposition17 från 2010. I båda dessa dokument finns långtgående krav på att myndigheter ska samverka med varandra och med enskilda.

16Ds 2010:47. 17Prop. 2009/10:175, Offentlig förvaltning för demokrati, delaktighet och tillväxt.

I sitt förslag18 till den nya förvaltningslagen argumenterade dock regeringen mot E-delegationen, och därmed för att en samverkansbestämmelse med motsvarande budskap som den nuvarande bestämmelsen i förvaltningslagen har en naturlig plats även i den nya förvaltningslagen.

För det första bör det, enligt regeringen, av bestämmelsen tydligt framgå att det är fråga om en mera generell skyldighet för myndigheter att samverka med varandra. Eftersom en myndighet alltid måste prioritera sina egna huvuduppgifter avgör den emellertid själv om den kan avsätta resurser för att hjälpa den myndighet som begär assistans. Regeringen framhöll även Förvaltningslagsutredningens förslag att bestämmelsen – i likhet med nuvarande reglering – inte ska ge stöd för några samverkansprojekt som faller utanför respektive myndighets verksamhetsområde. Regeringen pekade på E-delegationens invändning mot detta och att en sådan begränsning, enligt delegationens mening, inte tar tillräcklig hänsyn till e-förvaltningens behov av samverkan mellan myndigheter. Regeringen anförde dock att myndigheternas verksamhet, enligt legalitetsprincipen, styrs av de föreskrifter om arbetsuppgifterna som lagstiftaren eller någon annan normgivare har meddelat. Det innebär bl.a. att det inte får förekomma några nyskapelser i form av särskilda samarbetsorgan, som oberoende av tillämpliga föreskrifter fattar beslut som inte kan härledas till någon av de samverkande myndigheterna (jfr JO 1993/94 s. 458). Regeringen ansåg därför att begränsningen till verksamhetsområdet är både lämplig och väl avvägd, bl.a. eftersom en sådan huvudregel minskar risken för onödiga oklarheter och felgrepp i fråga om myndigheternas kompetens och befogenhet. Men, regeringen underströk på samma gång att:

Detta utesluter samtidigt inte att man i specialförfattningar eller i förordningarna med myndighetsinstruktion även fortsättningsvis vid behov kan ta in särskilda föreskrifter om samverkan som går längre eller annars avviker från förvaltningslagen. Det skulle t.ex. kunna gälla föreskrifter om undantag från begränsningen till myndighetens verksamhetsområde eller om krav på att samverkan i en viss situation ska ske med andra än myndigheter. För det andra bör bestämmelsen ge en klar indikation om att samverkansskyldigheten inte enbart tar sikte på att förvaltningen

18Prop. 2017/18:180.

generellt ska bli så enhetlig och effektiv som möjligt utan också är avsedd att underlätta för den enskilde i kontakterna med myndigheterna.19

Det vill säga att om det i andra lagar eller i förordningar finns någon bestämmelse som avviker från förvaltningslagen, tillämpas den bestämmelsen.20 Se nedan.

5.3.3. Avvikande bestämmelser i andra lagar eller i förordningar

Enligt 3 § i den ännu så länge gällande förvaltningslagen och 4 § i den nya förvaltningslagen gäller att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, gäller den bestämmelsen.

Både konstitutionsutskottet och regeringen anförde i beredningen av den nya förvaltningslagen att det finns ett stort behov av att kunna meddela föreskrifter om förvaltningsförfarandet som avviker från den allmänna regleringen i förvaltningslagen.

Redan i förarbetena till 1971 års förvaltningslag framhölls att strävan varit att ge förfarandebestämmelserna karaktär av basregler som normalt skulle kunna tillämpas av det stora flertalet förvaltningsorgan i alla instanser och på alla verksamhetsområden. Samtidigt konstaterades det att en allmän lag inte kunde utformas så att den passar för alla situationer. På denna punkt skiljer sig inte förhållandena i dag åt från när förvaltningsrättsreformen genomfördes. I vissa fall finns det behov av att kunna ställa upp högre krav än vad som följer av den allmänna regleringen. I undantagsfall kan det också finnas behov av att göra vissa begränsningar i tillämpningsområdet för någon eller några bestämmelser i lagen. Som en allmän princip bör dock enligt propositionen alltjämt gälla att undantag bara ska förekomma om det kan motiveras av bärande sakliga och funktionella skäl.21

19Prop. 2017/18:180, s. 71. 203 § förvaltningslagen (1986:223), 4 § förvaltningslagen (2017:900). 21Prop. 2017/18:180, bet. 2017/18:KU2. jfr prop. 1971:30 del 2 s. 318.

5.4. Myndighetsförordningen om statliga myndigheters samarbete och samverkan

För statliga myndigheter som lyder under regeringen finns det i myndighetsförordningen en generell bestämmelse om samarbete på myndighetens eget initiativ. Av myndighetsförordningen framgår att myndigheten ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.22 Syftet är att samordna myndigheternas verksamhet med angränsande verksamheter för att underlätta för enskilda och för att undvika dubbelarbete vid myndigheterna. Ökad samverkan mellan myndigheterna borde, enligt Verksförordningsutredningen, leda till att det blir enklare för medborgare, företag, kommuner m.fl. att ha med statliga myndigheter att göra. Samverkande myndigheter bör leda till en effektivare förvaltning i stort.23

I myndighetsförordningen används inte begreppet samverkan utan där talas det om samarbete. Däremot används både begreppet samordna och samverkan i författningskommentarerna till förordningen.24

5.5. Förordningen om statliga myndigheters elektroniska informationsutbyte

Enligt 2 § i förordningen om statliga myndigheters elektroniska informationsutbyte framgår kortfattat att en myndighet i sin verksamhet ska främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen.25

226 § myndighetsförordningen (2007:515). 23SOU 2004:23, Från verksförordning till myndighetsförordning, betänkande av Utredningen om en översyn av verksförordningen. 24SOU 2004:23, Från verksförordning till myndighetsförordning, betänkande av Utredningen om en översyn av verksförordningen. 252 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.

5.6. Bestämmelser om kommunernas och landstingens samverkan

Reglerna för kommuners och landstings samverkan i form av kommunalförbund och gemensam nämnd finns i kommunallagen.26 Av lagen framgår att kommuner och landsting får bilda kommunalförbund och lämna över skötseln av kommunala angelägenheter till sådana förbund. Kommuner och landsting får även besluta om gemensamma nämnder, dvs. att en nämnd ska vara gemensam med en annan kommun eller ett annat landsting.

Fullmäktige får besluta att en nämnd ska vara gemensam med en annan kommun eller ett annat landsting. En gemensam nämnd tillsätts i någon av de samverkande kommunerna eller landstingen och ingår i denna kommuns eller detta landstings organisation. En gemensam nämnd är, i motsats till ett kommunalförbund, inte en egen juridisk person utan ingår i en av de samverkande kommunernas eller landstingens politiska organisation. Denna kommun eller detta landsting brukar ofta omnämnas som värdkommunen eller värdlandstinget.

Ett kommunalförbund bildas genom att förbundsmedlemmarnas fullmäktige antar en förbundsordning. Kommunalförbundet är en offentligrättslig juridisk person som har egen rättskapacitet och är fristående i förhållande till sina medlemskommuner. Organisatoriskt är kommunalförbunden uppbyggda på i princip samma sätt som en kommun eller ett landsting.

5.6.1. Exempel på samverkan mellan kommuner

Ett exempel på formaliserad samverkan mellan kommuner är Norrbottens e-nämnd som har kommit till för att förverkliga regeringens intentioner för e-samhället.27 De kommuner som samverkar genom Norrbottens e-nämnd är, förutom Luleå kommun, Arjeplogs kommun, Arvidsjaurs kommun, Bodens kommun, Gällivare kommun, Haparanda kommun, Jokkmokks kommun, Kalix kommun, Pajala kommun, Piteå kommun, Älvsbyns kommun, Överkalix kommun och Övertorneå kommun. Luleå kommun är värdkommun för nämn-

263 kap89 §§ och 9 kap.kommunallagen (2017:725). 27 https://www.lulea.se/kommun--politik/kommunens-organisation/namnder/ e-namnden.html. 2017-11-12.

den. Norrbottens e-nämnd består av två politiker från varje kommun, en ledamot och en ersättare. Luleå kommun har ordförandeposten.

Nämndens inriktning för verksamheten är att med medborgarens fokus och med verksamhetens behov som utgångspunkt stödja kommunerna i Norrbotten för en snabbare utveckling inom e-förvaltning och digitaliseringen.

Norrbottens e-nämnd pekar ut tre övergripande mål, som är identiska med de övergripande målen i SKL:s strategi för eSamhället från 2011:

  • Enklare vardag för privatpersoner och företag,
  • Smartare och öppnare förvaltning som stödjer innovation och delaktighet,
  • Högre kvalitet och effektivitet i verksamheten.

Syftet med den formaliserade samverkan i Norrbottens e-nämnd är att skapa förutsättningar för:

  • att minska kostnader för initiativ som kan genomföras gemensamt,
  • att säkra kompetensförsörjning,
  • att effektivare utnyttja resurser genom samverkan,
  • att bidra till en snabbare utveckling inom e-förvaltning och digitalisering,
  • att implementera intentionerna i den nationella strategin för e-samhället.

5.6.2. Kommunutredningens förslag om vidgade möjligheter till avtalssamverkan

Enligt Kommunutredningen finns det en utbredd efterfrågan på att utvidga möjligheterna till kommunal avtalssamverkan. Behovet är brett, men gäller framför allt möjligheten att utnyttja den kompetens som finns hos anställda i andra kommuner. Områden som lyfts fram är bl.a. specialisttjänster som innefattar myndighetsutövning, it och digitalisering samt administration.

Kommunutredningen har föreslagit att det i den nya kommunallagen ska införas en bestämmelse som ska träda i kraft den 1 juli 2018 och som innebär att en kommun eller ett landsting får träffa avtal om att dess uppgifter helt eller delvis ska utföras av en annan kommun eller ett annat landsting (avtalssamverkan).28 Genom ett sådant avtal får en kommun eller ett landsting utföra uppgifter åt en annan kommun eller landsting, utan hinder av vad som anges i kommunallagen om anknytning till kommunens eller landstingets område eller dess medlemmar (lokaliseringsprincipen). Kommuner och landsting får komma överens om att uppdra åt en anställd i den andra kommunen eller det andra landstinget att besluta på kommunens eller landstingets vägnar i ett visst ärende eller en viss grupp av ärenden (extern delegering). Vid sådan delegering av ärenden gäller bestämmelserna i kommunallagen om jäv, vissa begränsningar av möjligheten till delegation, vidaredelegation, brukarmedverkan och anmälan av beslut.

28SOU 2017:77, En generell rätt till kommunal avtalssamverkan, delbetänkande av Kommunutredningen.

6. Effektiv styrning av förvaltningsgemensamma digitala funktioner

6.1. Ett tydligt offentligt åtagande är utgångspunkten för effektiv styrning

Utredningen bedömer:

att det offentliga åtagandet för förvaltningsgemensamma digitala

funktioner behöver regleras i författning.

I budgetpropositionen för 2018 anförde regeringen att:

Enskildas, organisationers och företags behov och förväntningar är en utgångspunkt för den offentliga förvaltningen. Dagens snabba samhällsutveckling innebär att den offentliga sektorn måste vara både förutsebar och anpassningsbar. Det ställer höga krav på en mer sammanhållen styrning på flera nivåer.1

I samma budgetproposition bedömde regeringen även att lagstiftningen måste anpassas ytterligare för att ge tillräckligt stöd för digital utveckling och samverkan inom offentlig sektor.

I delbetänkandet bedömde utredningen att det från regeringens sida har varit ett medvetet val att delegera ansvaret för arbetet med eförvaltning till myndigheterna. Att arbetet varit framgångsrikt i många avseenden kompenserade, enligt utredningen, inte för de begränsningar detta har inneburit. Utredningen konstaterade att regeringen har avstått från att använda de styrinstrument som står till buds, t.ex. genom att inte förtydliga vilka uppdrag myndigheterna har när det gäller digitalisering. Vidare saknas styrande mål för vad som ska

1Prop. 2017/18:1, utgiftsområde 2, s. 86.

uppnås och preciseringar av vad som ska anses vara offentliga åtaganden i den nationella digitala infrastrukturen.2

Motsvarande synpunkter har under flera år förts fram av flera andra utredningar i kommittéväsendet liksom i granskningar av Riksrevisionen, m.fl.

I budgetpropositionen för 2018 konstaterade regeringen ånyo att styrningen och samordningen inom den offentliga sektorn behöver stärkas så att de besparingar och nyttor som digitalisering medför ska kunna realiseras. Regeringen anförde att flera gemensamma insatser krävs för att nå regeringens mål för digitaliseringen av den offentliga förvaltningen. En sådan insats är att – huvudsakligen i enlighet med utredningens förslag i delbetänkandet – inrätta en myndighet för digitalisering av den offentliga sektorn.

Utredningens tolkning av regeringens direktiv3 till den särskilda utredare som ska förbereda och genomföra bildandet av den nya myndigheten är, att regeringen nu har påbörjat ett arbete med att utveckla sin styrning av den offentliga förvaltningens digitalisering. Ett arbete som, enligt utredningens mening, måste fortsätta med full kraft för att inte den förvaltningsgemensamma digitala utvecklingen ska bromsas i onödan. Regeringens styrning av den digitala förvaltningen måste utvecklas till en effektiv och tydlig process för att skapa goda förutsättningar för den förvaltningsgemensamma digitala utvecklingen.

För att säkerställa en mer effektiv styrning av nationella digitala tjänster ska utredningen, enligt direktiven, analysera om det är mer ändamålsenligt med en enhetlig modell för organisering och ansvarsfördelning av förvaltningsgemensamma digitala funktioner.

Utredningen bedömer emellertid att en enhetlig modell för att styra samtliga nuvarande och framtida nationella digitala tjänster på samma sätt inte är ett effektivt sätt att styra. En sådan förutbestämd, enhetlig modell skulle med stor sannolikhet skapa ett stelbent och ineffektivt sätt att styra.

Hur de enskilda nationella digitala tjänsterna styrs och ska styras kommer att variera och måste bedömas från fall till fall beroende på konstitutionella krav, tekniska och ekonomiska förutsättningar, typ av funktion, samverkansbehov mellan olika aktörer etc.

2SOU 2017:23, digitalforvaltning.nu. 3 Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.

Ett problem är att det inte finns något bindande mål för området digitalisering inom den offentliga sektorn. Utredningen föreslår därför att riksdagen och regeringen ska besluta om sådana mål. Se kapitel 7.

Ett annat problem med den nuvarande styrningen är att det i den offentliga förvaltningen saknas nödvändig författningsreglering av sådana befintliga tjänster som för närvarande benämns nationella digitala tjänster, såsom Mina meddelanden och Svensk e-legitimation. Utredningen vill understryka att den offentliga förvaltningens digitala utveckling och samverkan inte kan gå utöver vad rättsordningen medger. Det handlar inte bara om att ge förvaltningen ett tillräckligt formellt stöd för digital utveckling och samverkan inom den offentliga sektorn utan även om att i författning – för var och en av de nationella digitala tjänsterna – besluta om vad som ska vara det offentliga åtagandet. I detta betänkande lämnar utredningen förslag till författningsreglering av Mina meddelanden och Svensk e-legitimation samt kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Vad som bör vara ett offentligt åtagande är i varje enskilt fall ett politiskt ställningstagande och ett politiskt beslut. Ett sådant beslut kan inte delegeras eller decentraliseras till offentliga myndigheter.

Några skäl som brukar anges för ett offentligt åtagande är effektivare samhällsekonomi, fördelningsmotiv, stabiliseringspolitik samt ansvarstagande för det medborgarna inte själva har kunskap och information nog att sköta själva, dvs. en rad olika mål och motiv som alla kan diskuteras.4 Den privata marknaden kan inte uppfylla alla behov som är viktiga för landet och medborgarna. Vissa kollektiva nyttigheter måste i stället garanteras genom offentliga åtaganden. Offentliga åtaganden kan också motiveras av s.k. externa effekter, dvs. effekter som kan uppstå då någon inte tar önskvärd hänsyn till andra. Även stordriftsfördelar, bristande konkurrens, dålig konsumentinformation eller en skev resursfördelning kan motivera offentliga åtaganden.5

Förvaltningskommittén menade i betänkandet Styra och ställa – förslag till en effektivare statsförvaltning att frågan om vad som bör vara statliga myndighetsuppgifter och därmed ett statligt åtagande bör besvaras utifrån en pragmatisk ansats.

4 Den effektiva staten, Statskontorets antologi, 2012. 5Ds 2000:1, Kommittéhandboken.

Utifrån en given politisk ambition vid en viss tidpunkt bör en bedömning göras av de enskilda samhällsområdenas art och förutsättningar, innan det statliga åtagandet i form av myndighetsuppgifter närmare preciseras.6

Förvaltningskommittén bedömde samtidigt att de flesta statliga åtaganden förutsätter utförande av myndighetsuppgifter i någon form och bedömningar av hur uppgifter bör fördelas måste göras från fall till fall och med iakttagande av de särskilda förutsättningar som råder vid bedömningstillfället. Såväl demokrati- och rättssäkerhets- som effektivitetsargument måste beaktas.

Genom att statsmakterna beslutar om vad som ska vara offentliga åtaganden förtydligas samtidigt gränserna för vad som är myndighetsuppgifter, inte enbart i förhållande till enskilda, utan även vad som bör vara förbehållet marknadens aktörer. Detta kan exempelvis ha betydelse för avgöranden om huruvida verksamheter kan sägas vara så kallad egenregiverksamhet eller omfattas av upphandlingsbestämmelserna.7

Vad som slutligen bör vara en statlig myndighetsuppgift kan, enligt Förvaltningskommittén, med ett förenklat och kortfattat svar sägas kräva en politisk bedömning, som görs utifrån vid en viss tidpunkt gällande förutsättningar, politiska ambitioner, kunskaper och värderingar.8

Befintliga nationella digitala tjänster såsom Mina meddelanden och Svensk e-legitimation, liksom med största sannolikhet de flesta framtida nationella digitala tjänster, bygger på samverkan mellan den offentliga och privata sektorn.

Det finns därför, enligt utredningen, behov av att för var och en av de förvaltningsgemensamma digitala funktionerna närmare analysera och precisera omfattningen av det offentliga åtagandet i förhållande till de privata aktörernas roll. Med andra ord är det viktigt att för varje förvaltningsgemensam digital funktion fatta beslut om vilken aktör som har ansvar för vad och vad, som både formellt och i praktiken, ska vara ett offentligt åtagande som garanteras av riksdagen och regeringen.

6SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning. 7 Se Kammarrätten i Stockholms dom 2017-06-21, mål nr 7355-16. 8SOU 2008:118, Styra och ställa, slutbetänkande av 2006 års förvaltningspolitiska kommitté.

Till detta hör även det faktum att Sveriges medlemskap i Europeiska unionen påverkar på ett flertal områden – i hög grad – innehållet i och utförandet av de nationella myndigheternas uppgifter och därmed utformningen av det offentliga åtagandet. Det gemensamma regelverket för EU:s medlemsstater kan på olika områden begränsa och/eller styra det nationella statliga åtagandet. De offentliga myndigheterna omfattas bl.a. av ett flertal för medlemsstaterna gemensamma regelverk inom olika politikområden som ställer krav på den nationella digitala förvaltningsutvecklingen och riksdagens och regeringens styrning av den digitala förvaltningen.

Utredningens ambition är att förslagen om effektiv styrning av nationella digitala tjänster ska fungera som ett effektivt stöd för de offentliga myndigheterna att nå och redovisa de resultat som riksdagen och regeringen beslutat i dessa avseenden. Utmaningen är, givet dessa utgångspunkter, att styra statliga myndigheter, kommuner och landsting mot mål som är gemensamma för hela den offentliga förvaltningen. För detta behöver riksdagen och regeringen – med ett förvaltningsövergripande perspektiv – använda en väl balanserad kombination av flera olika styrmedel.

6.2. Förvaltningsgemensamma digitala funktioner

Utredningen bedömer:

att begreppet förvaltningsgemensamma digitala funktioner på

ett bättre sätt än begreppet nationella digitala tjänster, definierar och avgränsar innebörden av sådana digitala medel.

Utredningen föreslår:

att begreppet nationella digitala tjänster bör ersättas av begreppet

förvaltningsgemensamma digitala funktioner.

6.2.1. Definition och terminologi

I utredningens uppdrag har ingått att, med utgångspunkt i Mina meddelanden och Svensk e-legitimation, närmare definiera vad som är en nationell digital tjänst. Enligt utredningens bedömning är begreppet nationella digitala tjänster relativt nytt. Det återfinns inte i tidigare

dokument från regeringen eller E-delegationen utan tycks aktualiseras först i direktiven till denna utredning.

Enligt utredningens direktiv är nationella digitala tjänster sådana gemensamma digitala lösningar som är av infrastrukturkaraktär och som är en avgörande förutsättning för offentlig e-tjänsteutveckling i sin helhet. De nationella digitala tjänsterna ska kunna användas inom hela den offentliga sektorn och syftar till att underlätta elektronisk hantering av ärenden och kontakter med enskilda. Formuleringen lämnar öppet för vissa tolkningar. Att nationella digitala tjänster ska kunna användas inom hela den offentliga sektorn väljer utredningen att tolka som ett mål snarare än en del av en definition. Den andra delen av meningen är däremot viktig. En nationell digital tjänst avser något som är nära kopplat till en tjänst riktad till enskilda, dvs. en fysisk eller juridisk person som inte är en myndighet eller annat offentligt organ. Som distinktion är detta viktigt. Begreppet nationell digital tjänst omfattar således inte rena internadministrativa system, men kan omfatta lösningar kopplade till exempelvis ärendehandläggning.

Enligt direktiven ska de nationella digitala tjänsterna utvecklas utifrån medborgarnas behov, vilket förutsätter en bred och omfattande samverkan mellan statliga myndigheter, mellan kommunala myndigheter, mellan stat och kommun samt mellan den offentliga och den privata sektorn.

Gemensamma digitala lösningar kan, enligt regeringen, vara lösningar som används av hela den offentliga sektorn, sektorspecifika lösningar och lösningar som utvecklas i samverkan mellan ett fåtal myndigheter.

I ljuset av detta finner utredningen det vara befogat att överväga om termen nationella digitala tjänster är den lämpligaste för det begrepp som avses. I uttrycket är det ordet ”nationell” som ska skilja det som avses från digitala tjänster i övrigt och markera att det är fråga om något som sträcker sig utanför den enskilda myndighetens ansvarsområde och kanske även överskrider gränsen för statlig och offentlig verksamhet.

Enligt utredningens uppfattning är det dock fråga om tjänster som ska tillhandahållas av myndigheter eller av enskilda med stöd av författning. Vidare är det utmärkande för deras karaktär att vara gemensamma och inte bara vara en angelägenhet för en eller ett fåtal offentliga myndigheter. De är, som regeringen framhåller, gemensamma

digitala lösningar som är av infrastrukturkaraktär och som är en avgörande förutsättning för offentlig e-tjänsteutveckling i sin helhet.

Det framstår därför som mer rättvisande att beskriva de aktuella tjänsterna som ”förvaltningsgemensamma” snarare än ”nationella”. Ordet ”nationell” implicerar också att dess motsats kan vara ”lokal”, ”regional” eller ”internationell” vilket leder tankarna fel.

Även ordet ”tjänst” bör prövas. Det kan diskuteras om ordet ”tjänst” i tillräckligt hög grad anger den särprägel som det här finns behov av att uttrycka. E-delegationen definierade en digital tjänst som en paketerad service eller lösning som erbjuds för att tillgodose ett behov och som förmedlas digitalt.9 Myndigheter tillhandahåller många digitala tjänster, men de flesta av dessa innebär inga utmaningar vad gäller styrning, organisation och finansiering. Utredningen menar därför att ett annat ord än ”tjänst” bör användas. Ett lämpligare ord är enligt utredningens mening ”funktion”.

Utredningen anser att begreppet förvaltningsgemensamma digitala

funktioner på ett tydligare sätt definierar och avgränsar innebörden

av vad som här avses.

Att en funktion identifieras som en förvaltningsgemensam digital funktion innebär därmed inte automatiskt att det är staten ensam som ska tillhandahålla den eller att den ska tillhandahållas utan kostnad för brukaren. Detta är en fråga som får avgöras utifrån en bedömning av varje enskild förvaltningsgemensam digital funktion.

6.2.2. Vad kan vara en förvaltningsgemensam digital funktion?

I utredningens direktiv anges Mina meddelanden och elektroniska identitetshandlingar som exempel på förvaltningsgemensamma digitala funktioner. Bägge dessa funktioner fanns bland det som E-delegationen betraktade som strategiska förvaltningsgemensamma utvecklingsprojekt.

E-delegationen studerade också möjligheten att förverkliga idén att uppgifter bara ska behöva lämnas en gång genom att införa en databas för frivillig uppdatering av kontaktuppgifter. I Norge har införts ett nationellt kontaktregister i vilket 90 procent av befolkningen över

9 E-delegationen, Vägledning för digital samverkan, v 4.1, s. 73.

15 år frivilligt har lagt in kontaktuppgifter, dvs. mobiltelefonnummer och privat e-postadress. Uppgifterna används av statliga myndigheter och kommuner för påminnelser.10 I Sverige har SKL uppdragit åt Inera AB att göra en förstudie av en svensk motsvarighet.11

Det finns ett stort behov, bland annat hos landstingen, av säker kommunikation mellan myndigheter, som dessutom kan integreras med ärendeflöden inom myndigheterna. Systemen behöver kunna hantera behörigheter och elektroniska underskrifter. Försöksverksamhet pågår på flera håll. System för säker kommunikation mellan myndigheter kan också ses som ett exempel på en förvaltningsgemensam digital funktion.12

Ytterligare några exempel är standarder för förmedling av information mellan myndigheter och företag och standarder för förmedling av öppna data.

Den nod som ska förmedla gränsöverskridande digital trafik för elektronisk identifiering mellan myndigheter och utfärdare av identitetscertifikat med anledning av genomförandet av eIDAS-förordningen är ett annat exempel på en förvaltningsgemensam digital funktion, liksom det kopplingsregister som föreslås ska sammanföra utländska identitetsbeteckningar med svenska personnummer.

6.3. All offentlig makt i Sverige utgår från folket

Utredningens överväganden och förslag tar sin utgångspunkt i regeringsformen och relevanta EU-författningar och behandlar huvudsakligen riksdagens och regeringens styrning av offentliga myndigheter, dvs. kommuner, landsting och statliga myndigheter som lyder under regeringen.

All offentlig makt i Sverige utgår från folket. Den svenska folkstyrelsen bygger på fri åsiktsbildning och på allmän och lika rösträtt. Den förverkligas genom ett representativt och parlamentariskt statsskick och genom kommunal självstyrelse. Den offentliga makten utövas under lagarna.13

10 www.difi.no/rapporter-og-statistikk/nokkeltall-og-statistikk/digitalisering#4321 11 Mina kontaktuppgifter en nationell delningstjänst för digitala kontaktuppgifter, Förstudie på uppdrag av Sveriges Kommuner och landsting 2016-12-10 – 2017-03-31, Inera 2017. 12 Rapport Säker digital meddelandehantering mellan myndigheter Nuläges- behovs- och marknadsanalys, SKL 2016. 131 kap. 1 § regeringsformen (1974:152).

Till skillnad från de myndigheter som lyder under regeringen är varje kommun och landsting, enligt regeringsformens bestämmelser, en egen juridisk person. Styrelsen i varje kommun och varje landsting är ansvarig inför fullmäktige. Samtliga myndigheter under regeringen ingår i en och samma juridiska person och varje myndighets ledning är ansvarig inför regeringen.

Hur riksdagen och regeringen ska och får styra och följa upp de offentliga verksamheterna och deras resultat, liksom bestämmelserna för det allmännas relation till enskilda utgår från regeringsformens bestämmelser. Utredningens bedömningar och förslag till effektiv styrning av förvaltningsgemensamma digitala funktioner tar därmed sin utgångspunkt i regeringsformens bestämmelser om de offentliga myndigheterna, däribland det kommunala självstyret.

6.3.1. Regeringsformen

I regeringsformens första kapitel fastställer riksdagen statsskickets grunder. Riksdagen slår fast att all offentlig makt i Sverige utgår från folket och att den offentliga makten utövas under lagarna.

Den svenska folkstyrelsen bygger på fri åsiktsbildning och på allmän och lika rösträtt. Folkstyrelsen förverkligas genom ett representativt och parlamentariskt statsskick och genom kommunal självstyrelse. Den offentliga makten utövas under lagarna.14

Den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet.

Individens personliga, ekonomiska och kulturella välfärd ska vara grundläggande mål för den offentliga verksamheten.

Det allmänna ska främja en hållbar utveckling som leder till en god miljö för nuvarande och kommande generationer.

Det allmänna ska verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv. Det allmänna ska verka för att alla människor ska kunna uppnå delaktighet och jämlikhet i samhället och för att barns rätt tas till vara m.m.15

141 kap. 1 § regeringsformen (1974:152). 151 kap. regeringsformen (1974:152).

Riksdagen som är folkets främsta företrädare stiftar lag och en lag får inte ändras eller upphävas på annat sätt än genom lag, dvs. ingen annan än riksdagen kan ändra eller upphäva en lag. Riksdagen beslutar om skatt till staten och bestämmer hur statens resurser ska användas. Riksdagen granskar rikets styrelse och förvaltning.16 Regeringen styr riket och är ansvarig inför riksdagen.17

I riket finns kommuner på lokal och regional nivå, dvs. kommuner och landsting.18 Kommunerna och landstingen sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. På samma grund sköter kommunerna och landstingen även de övriga angelägenheter som bestäms i lag.19

För rättskipningen finns det domstolar. Ingen myndighet, inte heller riksdagen, får bestämma hur en domstol ska döma i det enskilda fallet eller hur en domstol i övrigt ska tillämpa en rättsregel i ett särskilt fall. Ingen annan myndighet får heller bestämma hur dömande uppgifter ska fördelas mellan enskilda domare.

Riksdagen får inte fullgöra förvaltningsuppgifter eller rättskipningsuppgifter i vidare mån än vad som följer av grundlag20 eller riksdagsordningen.21 Rättstvister mellan enskilda får inte utan stöd av lag avgöras av andra myndigheter än domstolar.

För den offentliga förvaltningen finns det statliga och kommunala förvaltningsmyndigheter.22 Ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, får bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpning av lag.

Domstolar, förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter ska i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet.23

161 kap. 4 § regeringsformen (1974:152). 171 kap. 6 § regeringsformen (1974:152). 181 kap. 7 § regeringsformen (1974:152). 1914 kap. regeringsformen (1974:152). 20Regeringsformen, (1974:152), Successionsförordningen (1820:0926), Tryckfrihetsförordningen (1949:105) och Yttrandefrihetsgrundlagen (1991:1469). 21 Riksdagsordningen (2014:801). Utöver grundlagarna finns riksdagsordningen, som har en särställning mellan grundlag och vanlig lag. För att ändra den krävs endast ett riksdagsbeslut, men detta måste fattas med kvalificerad majoritet, det vill säga minst tre fjärdedelar av de röstande och mer än hälften av ledamöterna. I riksdagsordningen finns detaljerade bestämmelser om riksdagen och dess arbetsformer. 221 kap. 8 § regeringsformen (1974:152). 231 kap. 9 § regeringsformen (1974:152).

Förvaltningsuppgifter kan överlämnas åt kommuner och även åt andra juridiska personer och enskilda individer. Om förvaltningsuppgiften innefattar myndighetsutövning får ett överlämnande endast göras med stöd av lag.

6.3.2. EU-förordningar och EU-direktiv

Sedan den 1 januari 1995 är Sverige är medlem i Europeiska unionen, EU. En bestämmelse om medlemskapet infördes i regeringsformens första kapitel 2010.24

Sverige och de övriga medlemsländerna beslutar tillsammans om nya EU-lagar, som ska gälla i alla EU-länder. Det överstatliga samarbetet innebär att medlemsstaterna har avstått från makten att själva fatta beslut inom vissa områden.25 En stor andel av de bestämmelser som svenska medborgare och offentliga myndigheter ska följa har därmed sin grund i regler meddelade på EU-nivå och inte enligt regeringsformens bestämmelser om normgivning. De grundläggande bestämmelserna meddelas i dessa fall inte av riksdagen eller regeringen utan av organ på EU-nivå. Unionsrätten har på dessa områden företräde framför nationella bestämmelser, däribland i princip även regeringsformen och andra grundlagar. Den slutliga uttolkningen av sådana bestämmelser görs av EU-domstolen och inte av de nationella domstolar som i regeringsformen pekas ut som högsta dömande instanser, dvs. Högsta domstolen och Högsta förvaltningsdomstolen.

En EU-förordning är en EU-lag som gäller alla EU:s medlemsländer, de företag och myndigheter som är verksamma i länderna och ländernas medborgare. En EU-förordning som har trätt i kraft gäller direkt och likadant i alla medlemsländer som en del av den nationella lagstiftningen. En EU-förordning är direkt tillämplig vilket betyder att ett medlemsland, efter att en förordning har antagits, inte behöver göra något mer för att den ska gälla i medlemslandet. Ett medlemsland får inte göra något som går emot det som står i förordningen – EUförordningen gäller. Det betyder att bestämmelserna inte får arbetas om eller justeras med hänsyn till medlemsländernas egna förhållan-

24 Lag (2010:1408). 25 Det innebär bland annat att vissa beslut som tidigare fattades i Sveriges riksdag, numera fattas gemensamt tillsammans med övriga EU-länder.

den. Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning.

Exempel på en EU-förordning som innehåller bestämmelser om e-tjänster och förvaltningsgemensamma digitala funktioner är eIDASförordningen.26

Ett annat exempel är Europaparlamentets och rådets dataskyddsförordning kallad GDPR27 med syftet att stärka skyddet för fysiska personer vid behandling av personuppgifter inom Europeiska unionen. Förordningen antogs den 27 april 2016 och kommer börja gälla den 25 maj 2018. Den ersätter då Dataskyddsdirektivet från 1995.28GDPR kommer börja gälla direkt i alla medlemsstater och ersätter då tidigare nationella bestämmelser. I Sverige kommer dataskyddsförordningen ersätta personuppgiftslagen.29

Ett EU-direktiv är en EU-lag som innehåller bindande bestämmelser som riktar sig till EU:s medlemsländer. Till skillnad mot EUförordningar är det bara resultatet av EU-direktiven och när resultatet ska vara uppnått som är bindande. Medlemsländerna beslutar själva vad de ska göra för att uppnå resultatet. Ett EU-direktiv ger varje medlemsland handlingsutrymme och om landet redan har de regler som föreskrivs i direktivet behöver det inte göra något utan kan hänvisa till de befintliga reglerna. Om det uppstår en tvist är det EU-domstolen som ska avgöra om direktivet är uppfyllt.30

26 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 27 (EU) nr 2016/679), förkortat GDPR efter engelskans General Data Protection Regulation. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 28 Dataskyddsdirektivet (95/46/EG). 29Personuppgiftslagen (1998:204). 30 Exempel på EU-direktiv är PSI-direktivet. Europaparlamentet och rådet antog den 17 november 2003 det s.k. PSI-direktivet. Direktivet trädde i kraft den 31 december 2003 och innehåller minimiregler. Direktivet har i Sverige genomförts genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen (PSI-lagen). Kommissionen har sett över tillämpningen av direktivet och föreslagit vissa ändringar. Ändringsdirektivet antogs av Europaparlamentet och rådet den 26 juni 2013 och trädde i kraft den 27 juni 2013. Ändringsdirektivet ska ha genomförts senast den 18 juli 2015. Ändringsdirektivet föranledde vissa ändringar i den svenska PSI-lagen från och med 1 juli 2015. Syftet med PSIlagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter. Lagen avser att förhindra att myndigheter beslutar om sådana villkor för vidareutnyttjande av handlingar som begränsar konkurrensen.

6.4. Effektiv styrning

Utredningen bedömer:

att styrningen är effektiv när de offentliga myndigheternas (de

styrdas) agerande och resultat stämmer överens med riksdagens och regeringens (de styrandes) direktiv, önskemål och förväntningar. För att uppnå detta måste riksdagens och regeringens styrning riktas direkt till den eller de myndigheter som ska styras. Styrningen behöver anpassas både till den eller de som ska styras och till den typ av verksamhet, eller som i denna utrednings uppdrag, de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel.

De krav som demokratin ställer innebär att förvaltningen ska fullgöra sina uppgifter i enlighet med de beslut som fattas av riksdagen och regeringen. Förvaltningen ska vara rättssäker vilket innebär att den ska fatta materiellt riktiga beslut på grundval av gällande lagar och andra författningar. Förvaltningen ska vara effektiv vilket innebär att åstadkomma avsedda resultat och uppnå fastställda mål på ett kostnadseffektivt sätt. Förvaltningen ska vara medborgarorienterad vilket innebär att myndigheternas verksamhet ska orienteras mot ett påvisbart utbyte för medborgarna.

Resonemangen nedan tar sin huvudsakliga utgångspunkt i riksdagens och regeringens styrning av kärnverksamheter/angelägenheter. Utredningen menar dock att motsvarande resonemang är direkt tilllämpligt även på riksdagens och regeringens styrning av den offentliga förvaltningens användning av medel för att genomföra sina kärnverksamheter och kommunala angelägenheter, i detta fall förvaltningsgemensamma digitala funktioner.

Det finns många definitioner av styrning. Styrning har dock alltid ett syfte eller mål. Det kan vara att förändra en verksamhet eller ett beteende, men också att se till att bevara status quo. Styrning handlar således, med en övergripande definition, om aktiviteter som genomförs i syfte att uppnå mål med hjälp av valda medel.31

31 Statskontoret 2005:28, Reglering och andra styrmedel, En studie av hur staten styr kommuner och landsting.

I sitt betänkande Att styra staten – regeringens styrning av sin förvaltning analyserade Styrutredningen regeringens styrning av sin förvaltning.

Styrutredningen pekade på det självklara att styrning bygger på att det finns minst två parter och att den ena parten försöker påverka den andra partens agerande. Styrning går ut på att den styrdas agerande ska stämma överens med den styrandes direktiv, önskemål och förväntningar.

Den som styr väljer vad styrningen ska riktas mot, dvs. styrningen måste ha ett objekt. En förutsättning för styrning är också att den på något sätt förmedlas till myndigheterna. I praktiken handlar det om att styrningen behöver kopplas ihop med det eller de objekt som ska styras.

Styrutredningen betonade att en viktig grundförutsättning i alla diskussioner om styrning (och utvärdering) är att skillnaderna mellan myndigheterna är stora. Enligt Styrutredningen är det av central betydelse att styrningen utformas så att dessa skillnader beaktas.32

Den grundläggande styrningen av en myndighet och dess verksamhet finns i lagar, respektive myndighets instruktion och finansiering, m.m. Utgångspunkten är att de förvaltningsuppgifter som följer av vad riksdagen och regeringen har bestämt, ska vara det aktuella statliga åtagandet.

Valet av styrmedel och utformningen av dem bör övervägas och kunna förändras allt eftersom verksamheten utvecklas, de politiska prioriteringarna ändras, om det uppstår nya problem m.m.

Enligt regeringens bedömning33 bör styrningen av förvaltningsmyndigheterna i så hög grad som möjligt vara utformad så att den bäst gynnar syftet med respektive verksamhet. Styrningen av statlig verksamhet bör utvecklas med inriktningen att kombinera olika styrformer för att skapa bästa möjliga förutsättningar för de statliga myndigheterna att förverkliga regeringens politik, utföra sina uppgifter i övrigt och upprätthålla grundläggande värden.

Styrningen bör vara tydlig, inriktad mot verksamheternas resultat, vara verksamhetsanpassad och ha ett medborgarperspektiv. Tydlig innebär bland annat att myndighetens uppdrag preciseras genom att

32SOU 2007:75, Att styra staten – regeringens styrning av sin förvaltning, betänkande av Styrutredningen. 33 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315.

uppgifter, regler och i förekommande fall mål och prioriteringar anges. Mål och uppgifter till myndigheterna formuleras så att respektive myndighet själv råder över eller har rimliga möjligheter att genom olika åtgärder kunna genomföra uppdraget på ett tillfredsställande sätt. Regeringen har betonat att olika styrmedel såsom ledningsform, utnämningar, instruktion, regleringsbrev, särskilda regeringsbeslut, dialog och möten bör kombineras och användas samordnat för att skapa bästa möjliga förutsättningar för statsförvaltningen att förverkliga regeringens politik.

För att bestämma styrbehovet och därmed kombinationen av styrmedel måste, enligt Ekonomistyrningsverket (ESV),34 hänsyn tas till verksamhetens tillstånd och verksamhetens natur samt det förväntade resultatet i det enskilda fallet. Även tidsaspekten är viktig vid valet av styrmedel. En fråga här är om myndigheten och verksamheten ska styras på kort, medellång eller lång sikt. Valet av styrmedel kan också bero på om en verksamhet eller ett efterfrågat resultat är politiskt prioriterat men även om något inte fungerat som avsett. Valet av styrmedel bör, enligt ESV, även avvägas och anpassas till om det är fler myndigheter och organisationer som ska bidra till ett gemensamt resultat så att styrmedlen underlättar och bidrar till att det gemensamma resultatet kan uppnås.35

I styrning av offentlig verksamhet ingår att följa upp, analysera, utvärdera, bedöma, redovisa och revidera de uppnådda resultaten, hur pengarna har använts osv. Bestämmelserna om resultatredovisning m.m. finns i olika lagar och förordningar för respektive kommuner och landsting, statliga myndigheter, regeringen och riksdagen.

6.4.1. Styrobjekten – de offentliga myndigheterna

De offentliga myndigheterna är ett nödvändigt instrument för att genomföra av riksdagen och regeringen fattade beslut. Styrningen av myndigheterna är därför av stor betydelse för att statsmakterna ska kunna uppfylla det politiska mandat väljarna har gett dem.36

34 ESV 2007:23, Resultat och styrning i statsförvaltningen. 35 A.a. 36SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning, slutbetänkande av 2006 års förvaltningskommitté, s. 59.

Även om det är formella skillnader mellan de offentliga myndigheterna, dvs. statliga myndigheter, kommuner och landsting, finns det gemensamma bestämmelser som gäller för alla offentliga myndigheter.

Med myndighet menas ett statligt eller kommunalt organ som utför offentliga förvaltningsuppgifter och som en offentligrättslig författning har skapat för detta ändamål, dvs. statliga och kommunala förvaltningsmyndigheter samt domstolar. Vad som avses med ”myndighet” bestäms därmed utifrån formerna för verksamheten och inte efter arbetsuppgifternas art eller vilken funktion organet har. Det innebär att även om ett enskilt organ med stöd av regeringsformen37 har fått offentliga arbetsuppgifter eller myndighetsutövning, kan organet inte – enligt regeringsformen – anses vara en myndighet. Att myndighetsbegreppet är organisatoriskt och inte funktionellt innebär också att även sådana myndigheter som inte har myndighetsutövning som sin huvudsakliga uppgift, är myndigheter.38

Regeringen föreslog att det i den nya förvaltningslagen som träder i kraft den 1 juli 2018 – efter de inledande paragraferna om lagens tillämpningsområde – skulle införas en rubrik kallad Grunderna för

god förvaltning. Riksdagen beslutade i enlighet med regeringens för-

slag och bestämmelserna om legalitet, objektivitet och proportionalitet, service, tillgänglighet och samverkan i den nya förvaltningslagen lyder därmed på följande sätt:

En myndighet får endast vidta åtgärder som har stöd i rättsordningen. I sin verksamhet ska myndigheten vara saklig och opartisk. Myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.39

Som skäl för sitt förslag angav regeringen att legalitetsprincipen brukar framhållas som ett skydd mot en nyckfull och godtycklig maktutövning från det allmännas sida. Den är en av de principer som anses känneteckna en rättsstat. I EU:s rättssystem liksom i Europakonventionen tillskrivs denna princip en avgörande betydelse.

3712 kap. 4 § regeringsformen (1974:152). 38Prop. 2009/10:224, Ett sammanhängande system för geografisk miljöinformation, s. 28. 39 5 § Grunderna för god förvaltning, Legalitet, objektivitet och proportionalitet, förvaltningslagen (2017:900).

Enligt regeringen är inte legalitetsprincipen enhetligt definierad men den brukar vanligtvis uppfattas som ett krav på att ingripanden mot enskilda ska ha ett klart författningsstöd. I denna betydelse är också legalitetsprincipen grundlagsfäst genom regeringsformens bestämmelse att ”den offentliga makten utövas under lagarna”. Med uttrycket lagarna som används i regeringsformen avses i detta sammanhang inte endast sådana lagar som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt.

Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Utan stöd i lag saknar varje myndighet befogenheter gentemot medborgarna.

Principen bör, enligt regeringen, gälla för all verksamhet hos myndigheten. Med det menas att den bör gälla för såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Avsikten är att hindra myndigheterna att agera helt vid sidan av sina i författning fastställda förpliktelser.

Av den sjätte paragrafen – service – i den nya förvaltningslagen framgår att en myndighet ska se till att kontakterna med enskilda blir smidiga och enkla. Myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Den ska ges utan onödigt dröjsmål.40

Den sjunde paragrafen innehåller en bestämmelse om tillgänglighet och innebär att en myndighet ska vara tillgänglig för kontakter med enskilda och informera allmänheten om hur och när sådana kan tas.41

6.5. Styrmedel

Valet av styrmedel och kombinationen av dessa är avgörande för resultatet. Riksdagen och regeringen använder flera olika styrmedel för att styra de offentliga myndigheterna. Vissa av dessa styrmedel såsom lagar, förordningar, uppdrag, finansiering, budgetmedel m.fl. är bindande för myndigheterna.

406 § förvaltningslagen (2017:900). 417 § förvaltningslagen (2017:900).

Regeringen använder även flera icke bindande styrmedel såsom nationella inriktningsdokument, handlingsplaner, överenskommelser m.fl. för att uttrycka sina ambitioner och önskad inriktning av olika frågor, politikområden m.m.

Mål kan vara bindande styrmedel eller icke bindande styrmedel. Om ett mål är bindande eller inte handlar inte om hur målet i sig är utformat. Det är den styrande som bestämmer om målet ska vara bindande för styrobjektet eller inte. Dock gäller att om målet ska vara bindande måste det kopplas ihop med det eller de objekt som ska styras.

6.5.1. Bindande styrmedel

Av regeringsformen framgår att bestämmelser ska meddelas av riksdagen genom lag om de avser

  • enskildas personliga ställning och deras personliga och ekonomiska förhållanden inbördes,
  • förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden,
  • grunderna för kommunernas och landstingens organisation och verksamhetsformer och för den kommunala beskattningen samt
  • kommunernas och landstingens befogenheter i övrigt och deras åligganden, m.m.42

Riksdagen kan bemyndiga regeringen att meddela föreskrifter enligt regeringsformens 8 kap. 3–5 §§. Därutöver får regeringen meddela föreskrifter om verkställighet av lag. Regeringen får även meddela förordning som inte enligt grundlag ska meddelas av riksdagen. Sådana förordningar får dock inte avse den kommunala beskattningen.43

En föreskrift är en bindande rättsregel som beslutas av en myndighet och utgår från en lag som beslutats av riksdagen eller en förord-

428 kap. 2 § regeringsformen (1974:152). 438 kap. 7 § regeringsformen (1974:152).

ning som beslutats av regeringen.44 I vissa fall bygger föreskrifter också på EU-rätten. Av lagen eller förordningen ska det tydligt framgå att myndigheten har ett bemyndigande att utfärda föreskrifter, dvs. en rätt att besluta om och utfärda föreskrifter inom ett visst område.

En statlig myndighets roll och uppgifter regleras i myndighetens

instruktion som beslutas av regeringen i form av en förordning. In-

struktionen innehåller inte en uttömmande beskrivning av en myndighets uppgifter utan dessa anges på ett övergripande plan. I instruktionen bör myndighetens ansvarsområde, uppgifter, ledningsform och andra för myndigheten specifika förhållanden regleras.

Finansiering och finansiell styrning

I regeringsformens nionde kapitel behandlas riksdagens finansmakt. Finansmakten är rätten att bestämma över statens inkomster och förfoga över statens tillgångar, framför allt genom beslut om utgifter. Riksdagen beslutar om en beräkning av statens inkomster och om anslag för bestämda ändamål till ett bestämt belopp. Anslag och inkomster får inte användas på annat sätt än vad riksdagen har bestämt.

Det är regeringen som inom ramen för riksdagens beslut förvaltar och förfogar över statens tillgångar, om de inte avser riksdagens myndigheter eller i lag har avsatts till särskild förvaltning.

Ytterligare bestämmelser om riksdagens, regeringens och de statliga myndigheternas befogenheter och skyldigheter i fråga om finansiering av verksamheterna finns i riksdagsordningen eller i särskild lag och förordning.45

Kommunernas beskattningsrätt

Av regeringsformens fjortonde kapitel framgår att kommunerna får ta ut skatt för skötseln av sina angelägenheter och att riksdagen, i lag, får besluta att kommuner och landsting ska bidra till kostnaden för

448 kap. 1 § regeringsformen (1974:152). 459 kap. regeringsformen (1974:152).

andra kommuners angelägenheter, om det krävs för att uppnå likvärdiga ekonomiska förutsättningar.46

Ytterligare regler om kommunernas befogenheter och skyldigheter i fråga om ekonomisk förvaltning finns i kommunallagen.47

6.5.2. Icke bindande styrmedel

Där staten har viljan att styra, men möjligheterna att styra med hjälp av mer detaljerad reglering är begränsade, kan vi förvänta oss ett mer frekvent användande av andra styrmedel än reglering. Annan styrning kan också vara ett första steg: ett försök att åstadkomma den förändring eller utveckling som statsmakterna önskar, utan att de ska behöva använda sig av ett starkare styrmedel som reglering. Riksdag och regering har också att ta hänsyn till den grundlagsreglerade kommunala självstyrelsen och vill helst undvika att inkräkta på den genom reglering. Visar det sig emellertid att den frivilliga vägen genom annan styrning inte fungerar tillfredsställande utifrån statsmakternas perspektiv, t.ex. att de förändringar man vill åstadkomma uppfattas går för långsamt, har riksdag och regering möjlighet att ta till lagstiftning för att nå sitt mål. /---/ Det kan också finnas politiskt strategiska motiv för riksdag och regering att använda sig av annan styrning. Genom att t.ex. tillsätta en nationell samordnare tydliggör statsmakterna att en viss verksamhet är viktig. Man markerar att man tar en uppkommen situation eller ett politiskt problem på allvar. Genom att involvera fler aktörer i hanteringen av frågan t.ex. genom en överenskommelse med SKL, kan också statsmakternas handlande ges ökad legitimitet. Här finns det dock betydande skillnader mellan olika verksamhetsområden när det gäller hur regeringen väljer att använda sig av annan styrning.48

Det som benämns annan styrning i citatet ovan är icke bindande styrmedel. Enligt Statskontoret är olika typer av nationella inrikt-

ningsdokument ett sätt för regeringen att uttrycka sina mål och am-

bitioner inom ett område. Nationella strategier, handlingsplaner och

handlingsprogram är exempel på nationella inriktningsdokument. Syf-

tet med styrning med nationella inriktningsdokument är, enligt Statskontoret, att övergripande påverka utvecklingen inom ett område. Det kan även vara fråga om att regeringen vill få draghjälp från aktö-

4614 kap.4 och 5 §§regeringsformen (1974:152). 47 11 kap. Ekonomisk förvaltning, Kommunallagen (2017:725). 48 Statskontoret 2011:22, Tänk efter före, Om viss styrning av kommuner och landsting, s. 28 f.

rer som regeringen har begränsad eller ingen formell möjlighet att styra. Det kan också vara ett sätt att kraftsamla olika aktörer till en viss fråga för att på så sätt stärka samordningen.

Med några undantag är nationella inriktningsdokument normalt sett inte juridiskt bindande. Undantagen är nationella handlingsplaner som följer den gemensamma lagstiftningen inom EU.49

Exempel på strategier är Med medborgaren i centrum – regeringens strategi för en digital samverkande statsförvaltning,50 som regeringen beslutade 2012. Ett annat exempel är strategin För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi51 som regeringen beslutade den 18 maj 2017.

Överenskommelser är en uppgörelse mellan två parter t.ex. reger-

ingen och SKL, som tillsammans förbinder sig att åstadkomma något. Överenskommelserna är inte formellt bindande och de parter

som ingår i överenskommelsen har inte ansvaret för det direkta genomförandet. Därför blir det svårt att utkräva något formellt ansvar om

en överenskommelse bryts.

Statskontoret beskriver överenskommelser som ”ett paket av olika styrmedel” och menar att överenskommelser är ett sätt för regeringen att sätta fokus på en fråga eller ange en gemensam inriktning för en fråga eller ett ansvarsområde. Överenskommelser innehåller ofta flera andra styrmedel t.ex. statsbidrag, informationsinsatser och uppföljning.52

Som ett exempel på överenskommelse kan nämnas att regeringen i januari 2017 ingick en överenskommelse med SKL om en handlingsplan för samverkan vid genomförande av Vision e-hälsa 202553 för att skapa bättre förutsättningar för fortsatt digitalisering av vård och omsorg och genomförandet av visionen. Handlingsplanen fastslår bl.a. att en gemensam styr- och samverkansorganisation ska användas.54

49 Statskontoret 2016:24, Statens styrning av kommunerna. 50 Dnr N2012/06402/ITP. 51 Dnr N2017/03643/D. 52 Statskontoret 2014, Om offentlig sektor, Överenskommelser som styrmedel. 53 S2016/01874/FS. 54Prop. 2017/18:1, utgiftsområde 2, s. 94.

6.6. Effektivitet och god hushållning

Den offentliga förvaltningens användning av digitala medel ska leda till ökad kvalitet och effektivitet i den offentliga förvaltningen som helhet.

Den offentliga förvaltningen och domstolarna utgör en betydande maktapparat. Ett grundläggande krav är att myndigheterna ska tjäna medborgarna, inte tvärtom. Den grundläggande demokratiska principen om att det är folket som är uppdragsgivare ställer krav på effektivitet och hushållning med statens finanser. Denna utgångspunkt ställer dock även krav på bl.a. myndigheternas kontakt med allmänheten. Kraven på effektivitet kan lätt gå ut över servicen till allmänheten, vilken kan vara både tids- och arbetskrävande. Det är viktigt att den enskilde statsanställde utifrån värdegrunden kan hantera denna konflikt. Vidare måste den statligt anställde beakta att legalitetsprincipen alltid är överordnad effektiviteten. Nyckelord för den statsanställde är lättillgänglighet, skyldighet att informera och underlätta samt måluppfyllelse.55

Av utredningens direktiv framgår att ytterligare effektivitetsvinster bör kunna göras genom fler innovativa lösningar i offentlig tjänsteproduktion och att det finns en stor effektiviseringspotential att ta till vara med hjälp av tekniken. Även Digitaliseringskommissionen konstaterade i sitt betänkande 2015 att digitaliseringen ändrar förutsättningarna för de offentligt finansierade verksamheterna genom att den erbjuder stora möjligheter till effektivisering och rationalisering och samtidigt högre kvalitet för individen i de tjänster som tillhandahålls.56

Enligt kommunallagen är kommuner och landsting skyldiga att ha en god ekonomisk hushållning i sin verksamhet och i sådan verksamhet som bedrivs genom andra juridiska personer.57

Enligt regeringen har kommuner och landsting stora möjligheter att själva fatta de beslut som behövs för att den egna verksamheten ska bedrivas kostnadseffektivt och med hög kvalitet. Staten har dock, enligt regeringen, ett övergripande ansvar för att samtliga kommuner och landsting har förutsättningar och kapacitet att hantera dessa frågor. Bland annat genom att förbättra ramverket för och styrningen av

55 Värdegrundsdelegationen 2013, Den gemensamma värdegrunden för de statsanställda s. 25. 56SOU 2015:91, Digitaliseringens transformerande kraft, betänkande av Digitaliseringskommissionen. 57Kommunallagen (2017:725).

kommunsektorn arbetar regeringen, enligt vad som framgår av budgetpropositionen för 2018, aktivt med detta inom olika områden.58

Mål för den ekonomiska förvaltningen är att kommuner och landsting ska ha en god ekonomisk hushållning i sin verksamhet och i sådan verksamhet som bedrivs genom kommunala bolag, stiftelser, föreningar och privata utförare. Fullmäktige ska besluta om riktlinjer för god ekonomisk hushållning för kommunen eller landstinget.

Av budgeten ska det vidare framgå hur verksamheten ska finansieras och hur den ekonomiska ställningen beräknas vara vid budgetårets slut. De finansiella mål som är av betydelse för en god ekonomisk hushållning ska anges.

Budgeten ska även innehålla en plan för verksamheten under budgetåret. I planen ska det anges mål och riktlinjer som är av betydelse för en god ekonomisk hushållning. Budgeten ska även innehålla en plan för ekonomin för en period av tre år. Om fullmäktige beslutar om en utgift under löpande budgetår, ska beslutet även innefatta en anvisning om hur utgiften ska finansieras.

Både budgetlagen59 och myndighetsförordningen60 ger uttryck för statsmakternas viljeinriktning eller ambition för hur regeringen och myndigheterna under regeringen ska använda pengarna när de bedriver sina verksamheter. I budgetlagen, som i första hand reglerar regeringens skyldigheter och befogenheter på finansmaktens område, reglerar riksdagen att i statens verksamhet ska hög effektivitet eftersträvas och god hushållning iakttas.

Den tidigare budgetlagsutredningen61 ansåg att kravet på hög effektivitet och god hushållning är grundläggande i statens verksamhet. Hög effektivitet innebär att den statliga verksamheten ska bedrivas så att av riksdagen avsedda mål nås i så hög grad som möjligt inom ramen för tillgängliga resurser. Verksamheten kan då sägas vara ändamålsenligt utformad.

Uttrycket god hushållning har en annan och snävare innebörd och innebär att onödiga utgifter ska undvikas, att verksamheten ska bedrivas med hög produktivitet, att statens medel ska hanteras säkert samt att statens tillgångar i övrigt och skulder ska förvaltas väl.62

58Prop. 2017/18:1, utgiftsområde 25, s. 24. 591 kap. 3 § budgetlagen (2011:203). 603 § Myndighetsförordningen (2007:515). 61SOU 1996:14. 62Prop. 1995/96:220 s. 19 f., prop. 2010/11:40, s. 124.

Uttrycket eftersträvas (hög effektivitet ska eftersträvas) ville den tidigare budgetlagsutredningen använda för att markera att effektivitet inte kan nås i absolut bemärkelse. Uppgiften var i stället att successivt och målmedvetet vidta åtgärder som gör att effektiviteten och ändamålsenligheten i verksamheten förbättras. Dock kan kraven på god hushållning sägas vara något mer absoluta än kraven på effektivitet.

Av myndighetsförordningen framgår att myndighetens ledning har ansvar för att myndighetens verksamhet bedrivs effektivt och att den hushållar väl med statens medel.63 Statsförvaltningen ska utnyttja skattemedel ändamålsenligt och inte använda mer resurser än vad som krävs för att uppnå avsedda resultat med rätt kvalitet. Varje myndighet ska sträva efter hög effektivitet men ska samtidigt beakta statens samlade effektivitet. Statsförvaltningen ska ha en väl utvecklad kvalitet, service och tillgänglighet och därigenom bidra till Sveriges utveckling och ett effektivt EU-arbete. Myndigheterna ska ge varandra hjälp inom ramen för den egna verksamheten, verka för att genom samarbete med myndigheter och andra ta tillvara de fördelar som kan vinnas för enskilda samt för staten som helhet.64

Enligt förordningen om statliga myndigheters elektroniska informationsutbyte65 ska en myndighet i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen.

6.6.1. Förvaltningsövergripande kostnadseffektivitet och förvaltningsgemensamma resurser i en samverkande förvaltning

Utredningen bedömer:

att en effektiv finansiell styrning och finansiering av förvalt-

ningsgemensamma digitala funktioner innebär att riksdagen och regeringen måste styra resurserna utifrån ett förvaltningsövergripande perspektiv.

633 § myndighetsförordningen (2007:515). 64Budgetlagen (2011:203), förvaltningslagen (1986:223), myndighetsförordningen (2007:515), prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315. 652 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.

att kraven på kvalitet och effektivitet i de förvaltningsgemen-

samma digitala funktionerna måste tillgodoses och bedömas på en förvaltningsövergripande nivå.

En aspekt som skulle behöva belysas ytterligare är finansieringsfrågan vid utveckling av lösningar som är gemensamma för flera myndigheter. Effektiviserings- och resultatkrav på varje enskild myndighet riskerar att leda till att initiativ inte kommer till stånd när kostnaden uppstår i en myndighet och nyttan uppkommer i en annan, oavsett nyttan för samhället i stort eller för den enskilda medborgaren.66

Av beskrivningen ovan framgår att riksdagens och regeringens bestämmelser om hushållning och effektiv hantering av skattebetalarnas pengar riktar sig till respektive offentlig myndighet, inte till förvaltningen som helhet. Undantaget är den sjätte paragrafen i myndighetsförordningen som anger att myndigheten ska lyfta blicken från enbart den egna verksamheten och verka för att genom samarbete

med andra myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.67

I budgetpropositionen för 2015 sade regeringen att arbetet med att modernisera och effektivisera den offentliga sektorn för att ge bättre service åt medborgarna till en lägre kostnad är viktigt och att en ökad samordning och digital samverkan över myndighetsgränserna har en stor utvecklingspotential i den offentliga förvaltningen. Bristande samverkan mellan myndigheter skapar inte bara problem för enskilda medborgare och företagare som kommer i kontakt med det offentliga. Det kan även medföra onödiga kostnader för staten.68

Statens servicecenter är ett exempel på statliga förvaltningsgemensamma resurser, dvs. resurser som är tillgängliga för alla myndigheter i statsförvaltningen. Statens servicecenter69 har till uppgift att efter överenskommelse med myndigheter under regeringen mot avgift tillhandahålla tjänster som gäller administrativt stöd åt myndigheterna.

E-legitimationsnämnden och Skatteverkets förvaltning av Mina meddelanden är däremot numera direkt anslagsfinansierade. År 2017

66 Polismyndighetens remissvar 2017-06-27, A 137.630/2017 över delbetänkandet SOU 2017:23, s. 3. 676 § myndighetsförordningen (2007:515). 68Prop. 2014/15:1, utgiftsområde 22, s. 148. 69 Förordningen (2012:208) med instruktion för Statens servicecenter.

infördes även ett avgiftsfritt utbyte av grunddata mellan statliga myndigheter.

De grunddata som omfattas av utbytet är uppgifter i folkbokföringsregistret, näringslivsregistret, vägtrafikregistret, fastighetsregistret och viss geografisk information. Fram till och med 2016 har de registeransvariga myndigheterna fakturerat andra myndigheter för efterfrågade uppgifter. Regeringen bedömde dock att denna ordning är ineffektiv i att ett avgiftsuttag mellan myndigheter ökar de administrativa kostnaderna och bidrar till att myndigheter använder mellanhänder, med risk för sämre registerkvalitet. De anslag som finansierar Mina meddelanden, E-legitimationsnämnden och det avgiftsfria grunddatautbytet enligt ovan har finansierats genom en omfördelning av medel mellan statliga myndigheter. De alternativ till finansiering av förvaltningsgemensamma digitala funktioner är, enligt utredningens bedömning, avgifter och/eller anslag.

Avgiftsfinansiering i statlig verksamhet anses ha två huvudsakliga syften, nämligen att ersätta annan finansieringskälla eller att påverka efterfrågan på varan eller tjänsten. Ett av de vanligaste argumenten för att införa en avgift är att det anses vara rimligt att den som utnyttjar en verksamhet också betalar för den. En avgift kan öka kostnadsmedvetandet hos både producent och konsument och höja produktiviteten. En avgift kan öka varans eller tjänstens värde för konsumenten.

Inomstatliga avgifter tas ut mellan statliga myndigheter. Intäkterna från avgifterna som betalas mellan myndigheter har inte någon statsfinansiell effekt. Avgiftsfinansiering av en vara eller tjänst som enbart berör olika myndigheter är alltså fråga om interndebiteringar eller en metod att omfördela resurser inom staten. Det innebär i princip att de varor och tjänster som produceras hos en myndighet avgiftsfinansieras och att anslagsmedel i stället anvisas och tilldelas den myndighet som köper och använder tjänsten eller varan.70

ESV har konstaterat att i många fall är ett avgiftsfritt utlämnande mer kostnadseffektivt både för myndigheten och för användarna eftersom avgiftsuttag i sig medför en kostnad.71 Med det menas att med avgiftsfinansiering följer även administration av avgiftshanteringen och de administrativa kostnaderna för att ta ut avgiften kan bli så höga att det inte lönar sig att ta ut någon avgift.

70 ESV 2009:39, Förslag till utvecklad finansiell styrning. 71 ESV 2015:63, Avgiftsförordningen och PSI-lagen.

Argument som talar emot avgiftsfinansiering är att den kan leda till en oönskad minskning av efterfrågan av tjänsten. En avgift kan även innebära att syftet med verksamheten inte uppnås eftersom det ligger i samhällets eller statsmakternas intresse att så många som möjligt får ta del av tjänsten. Enligt utredningens bedömning är avgiftsfinansiering av förvaltningsgemensamma digitala funktioner en vare sig tillräckligt förutsägbar, stabil eller långsiktig finansieringsform för att funktionerna, på ett effektivt sätt, ska kunna leverera de förväntade resultaten.

Digitaliseringsmyndigheten som utredningen föreslog i sitt delbetänkande är tänkt att vara en förvaltningsgemensam resurs för hela den offentliga sektorn. I förslaget ingår att digitaliseringsmyndigheten ska vara anslagsfinansierad och att myndighetens tjänster ska vara kostnadsfria för de offentliga myndigheterna.72 Utredningen argumenterade att finansieringen av digitaliseringsmyndighetens samlade ansvar bör ge myndigheten långsiktiga och stabila förutsättningar att stödja förvaltningens utveckling och öka den samverkan inom hela den offentliga förvaltningen som riksdagen och regeringen vill uppnå. Utredningen föreslog därför att samtliga uppgifter i samordningsuppdraget ska finansieras med anslagsmedel.

I budgetpropositionen för 2018 föreslog regeringen att riksdagen skulle besluta om att anvisa ett förvaltningsanslag för digitaliseringsmyndigheten. Ändamålet med anslaget skulle vara att anslaget får användas för digitaliseringsmyndighetens förvaltningsutgifter. Anslaget får användas för utgifter för styrning, samordning och uppföljning av digitaliseringen av den offentliga förvaltningen samt för den nationella digitala infrastrukturen. Anslaget får användas för utgifter för E-legitimationsnämndens verksamhet i den mån den inte finansieras med avgifter samt för andra förvaltningsgemensamma tjänster och funktioner. Riksdagen beslutade enligt regeringens förslag.73

Utredningen noterar att det av regeringens direktiv till den särskilda utredare som ska inrätta digitaliseringsmyndigheten framgår att utredaren får lämna förslag på verksamhet som kan bli föremål för avgifter.74 Den avgiftsbelagda verksamheten ska ha målet full kost-

72 Anslagsfinansieringen som enligt förslaget ska föras över från E-legitimationsnämnden avsåg E-legitimationsnämndens verksamhet och E-legitimationsnämndens ansvar för federationstjänsterna. 73Prop. 2017/18:1, utgiftsområde 2, bet. 2017/18:FiU2, rskr. 2017/18:128 och 129. 74 Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.

nadstäckning och får inte gynna eller missgynna vissa användare. Av direktiven framgår inte om det är fråga om avgifter för frivillig uppdragsverksamhet eller om det är fråga om offentligrättsliga avgifter.

ESV har framhållit att det finns ett behov av att ta fram en långsiktigt hållbar finansieringsmodell som tar sikte på att öka den samverkan mellan de statliga myndigheterna som riksdagen och regeringen vill uppnå för att främja den digitala förvaltningen. ESV menar att finansiell styrning med anslag kan öka denna samverkan.75

Bestämmelserna om finansiell styrning med anslag innebär dessutom att verksamheten blir mer transparent, att finansieringsbesluten måste bli föremål för noggrann budgetberedning och beslut i hela styrkedjan och att det finns möjligheter för statsmakterna att utöva ett yttre effektiviseringstryck på verksamheterna.

Avseende avgiftsfinansiering myndigheter emellan, dvs. avgifter för frivillig uppdragsverksamhet, har utredningen inte någon annan uppfattning än ESV i denna fråga utan menar att anslagsfinansiering av förvaltningsgemensamma digitala funktioner är den bättre och mer effektiva finansieringslösningen för alla inblandade aktörer.

Utredningen menar att avgiftsfinansiering offentliga myndigheter emellan kan verka hämmande för den önskade utvecklingen och förvaltningen av förvaltningsgemensamma digitala funktioner som riksdagen och regeringen eftersträvar. Avgiftsfinansiering riskerar att verksamheten inte utförs på ett effektivt sätt för staten som helhet utan kan till och med innebära att myndigheter som har behov av myndighetens avgiftsbelagda tjänster av ekonomiska och andra skäl avstår från dem.

6.7. Närmare om statliga myndigheterna under regeringen

Under regeringen lyder den statliga förvaltningsorganisationen, dvs. Justitiekanslern och andra statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen.76 Domstolarna ingår i också i den statliga myndighetsorganisationen under regeringen. Domstolarna är dock inte förvaltningsmyndigheter. Till skillnad från kommuner och

75 Ekonomistyrningsverkets redovisning av uppdraget Finansieringslösningar för gemensamma digitala tjänster 2016-03-01, dnr. 1.1-397/2015. 7612 kap.1 §regeringsformen (1974:152).

landsting ingår de statliga myndigheterna under regeringen i en och samma juridiska person.

Det finns flera olika utgångspunkter för att räkna antalet myndigheter under regeringen. Av Statskontorets redovisning av den offentliga sektorns utveckling framgår att det i januari 2017 fanns 343 statliga myndigheter under regeringen. Dessa myndigheter är förvaltningsmyndigheter och domstolar som lyder under regeringen och som regeringen har utfärdat en förordning med instruktion för, eller som styrs av en särskild lag. I denna grupp myndigheter ingår inte myndigheter med tidsbegränsade uppdrag.77

I Arbetsgivarverkets redovisning av antalet myndigheter under regeringen ingår endast myndigheter med egna anställda. År 2017 hade, enligt Arbetsgivarverket, 212 myndigheter under regeringen egna anställda.

ESV i sin tur redovisar antalet myndigheter som ingår det i den statliga redovisningsorganisationen. Av redovisningen som uppdateras löpande framgår att det i november 2017 ingick 218 statliga myndigheter i den statliga redovisningsorganisationen. Av dessa var 215 myndigheter som lyder under regeringen.78 Förteckningen innehåller uppgifter om myndighetsidentitet, organisationsnummer, departementstillhörighet, årsredovisningsskyldighet och om tillstånd att rekvirera ingående mervärdeskatt.

Även Statistiska centralbyrån för ett register över statliga myndigheter – det allmänna myndighetsregistret. Sammantaget omfattade myndighetsregistret 458 myndigheter i januari 2018.79

Statistiska centralbyråns uppdrag att föra registret framgår av förordningen om det allmänna förordningsregistret.80 Enligt förordningen ska registret innehålla uppgifter om domstolar, affärsverk och övriga förvaltningsmyndigheter samt myndigheterna i utrikesrepresentationen.81

77 Statskontoret 2017, Den offentliga sektorn i korthet 2017, dnr 2017/20-5. För närmare beskrivning av Statskontorets definition se Statskontoret (2005:32), Statsförvaltningens utveckling 1990–2005. 78 ESV webbplats 2017-11-18. ESV redovisar samtliga 218 statliga myndigheter i den statliga redovisningsorganisationen inklusive Riksrevisionen, Riksdagens ombudsmän, JO samt Kungliga Hov- och Slottsstaten. Utredningen redovisar här dock enbart antalet myndigheter i den statliga redovisningsorganisationen som lyder under regeringen, dvs. 218-3=215. 79 www. scb.se 2018-01-02. 80 Förordningen (2007:755) om det allmänna myndighetsregistret. 811 § förordningen (2007:755) om det allmänna myndighetsregistret.

6.7.1. Regeringen väljer hur mycket den vill styra sina myndigheter

Enligt regeringen är myndigheternas fristående ställning och långtgående befogenheter att besluta om hur de egna uppgifterna ska lösas viktiga i den svenska förvaltningen och medför många fördelar. Den lägger också grunden till att myndigheterna på ett självständigt sätt ska kunna sköta sin dagliga verksamhet effektivt och rättssäkert. Den svenska förvaltningsmodellen är en förutsättning för en effektiv och utvecklingsinriktad statsförvaltning. Regeringen har samtidigt betonat att det är lika viktigt att varje myndighet, samtidigt som den har långtgående befogenheter att bestämma hur den organiserar sitt arbete, är en del av staten som helhet. Det är därför viktigt med en väl fungerande samordning och samverkan mellan myndigheterna.82

Varje regering väljer hur mycket den vill styra sina myndigheter. Förvaltningskommittén uttryckte det på följande sätt:

/---/ frågan om hur mycket regeringen vill styra en enskild myndighet varierar mellan en regering och en annan, från myndighet till myndighet, från verksamhet till verksamhet och från en tid till en annan.83

Även om en stor del av de statliga myndigheternas verksamhet, m.m. regleras av riksdagen i olika lagar har myndigheterna under regeringen en lydnadsrelation till regeringen men inte direkt till riksdagen eller medborgarna, och inte heller till ett enskilt statsråd. Riksdagen och regeringen styr de statliga myndigheterna huvudsakligen genom författningar – riksdagen genom lagar och budgetbeslut och regeringen genom förordningar och budgetreglering. Dessa lagar och förordningar kan vara generella eller specifika. Det generella regelverket består bl.a. av förvaltningslagen, myndighetsförordningen och förordningen om budgetunderlag och årsredovisning.84

Alla statliga myndigheter under regeringen ska – som regel – ha en instruktion. Instruktionen är en förordning som regeringen beslutar med stöd av den s.k. restkompetensen, dvs. sådan normgivning som inte tillkommer riksdagen genom grundlag. En myndighets instruktion är oftast myndighetsspecifik men kan även vara

82 Skr. 2013/14:155, bet. 2013/14:FiU37, rskr. 2013/14:300. 83SOU 2007:75, Att styra staten – regeringens styrning av sin förvaltning, betänkande av Styrutredningen, s. 45 f. 84Förvaltningslagen (2017:900), myndighetsförordningen (2007:515), förordningen (2000:605) om budgetunderlag och årsredovisning.

gemensam för flera myndigheter med liknande verksamhet, eller för flera myndigheter inom samma förvaltningsområde.

Gemensamma instruktioner finns för bl.a. länsstyrelserna och olika typer av domstolar såsom tingsrätter, förvaltningsrätter m.fl.

Med instruktionen bestämmer regeringen en myndighets uppgifter, ledningsform och andra förhållanden som är specifika för myndigheten.

Regeringen brukar varje år – i budgetpropositionen – redovisa sina utgångspunkter och ambitioner för sin styrning av sina myndigheter. Så även i budgetpropositionen för 2018 där regeringen framhöll att enskildas, organisationers och företags behov och förväntningar är en utgångspunkt för den offentliga förvaltningen.

Regeringen anförde att

dagens snabba samhällsutveckling innebär att den offentliga sektorn måste vara både förutsebar och anpassningsbar. Det ställer höga krav på en mer sammanhållen styrning på flera nivåer. Regeringen vill värna och utveckla den svenska förvaltningsmodellen, med en stor tillit och ett långtgående delegerat ansvar till de statliga myndigheterna. Styrningen ska därför vara långsiktig, strategisk, verksamhetsanpassad och utgå från ett helhetsperspektiv, med tillit och förtroende som grund. Med tillitsbaserad styrning avser regeringen en styrning som både tydliggör vad som ska uppnås och ger ett så stort handlingsutrymme som situationen tillåter för den som ska utföra verksamheten. En tillitsbaserad styrning omfattar även en uppföljning och efterhandskontroll, som både ger tillräckliga underlag för fortsatt styrning och upplevs vara meningsfull och legitim av den som ska kontrolleras.

/---/

Behovet av samordning har i flera fall ökat och styrningen behöver i en del fall bli mer sammanhållen, t.ex. genom att utgå från verksamhetsområden snarare än enskilda myndigheter. Lokalisering och digitalisering är exempel på områden där ett helhetsperspektiv medför fördelar för staten som helhet, vilket också avspeglas i regeringens styrning. Medborgarnas förtroende för det allmänna är även fortsättningsvis en grundläggande förutsättning för den statliga förvaltningen och dess förmåga att möta förändringar.85

Ansvaret för den enskilda myndighetens interna organisation är i regel delegerat till myndighetens ledning. Regeringen har dock det övergripande ansvaret för att den statliga förvaltningen bedrivs rätts-

85Prop. 2017/18:1, utgiftsområde 2, 5 Statlig förvaltningspolitik, s. 86.

säkert och effektivt och att myndigheterna har en likvärdig service och tillgänglighet för alla medborgare och företag.86

6.7.2. Statsförvaltningen – de förvaltningspolitiska utgångspunkterna för regeringens styrning av sina myndigheter

Regeringens förvaltningspolitik som omfattar alla myndigheter under regeringen ska tydliggöra statsförvaltningens särprägel, statens ansvar och uppgifter och uppdraget att tjäna demokratin. Förvaltningspolitiken syftar till en rättssäker och effektiv statsförvaltning och till att utveckla förvaltningen som helhet och dess samlade nytta för medborgare och företag.

Den statliga förvaltningspolitiken innefattar främst frågor och generella principer, oavsett verksamhetsområde. Den statliga förvaltningspolitiken omfattar styrning, ledning, organisation och utveckling av de statliga myndigheterna samt vissa övergripande frågor om relationen mellan stat och kommun, inklusive regional ansvarsfördelning. Kommunerna och landstingen omfattas annars inte av den statliga förvaltningspolitiken. Samtidigt finns det många beröringspunkter mellan den statliga förvaltningen och de kommunala och landstingskommunala förvaltningarna.

Ur ett EU-perspektiv är förvaltningspolitiken huvudsakligen en nationell angelägenhet. Det samarbete som förekommer är, enligt den tidigare regeringen, huvudsakligen frivilligt. Det finns emellertid unionslagstiftning som på olika sätt påverkar hur de nationella myndigheterna arbetar eller är organiserade.87

Målet för den statliga förvaltningspolitiken som riksdagen beslutade 2010 är

En innovativ och samverkande förvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.88

86Prop. 2009/10:175. 87 Skr. 2013/14:155, bet. 2013/14:FiU37, rskr. 2013/14:300. 88Prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315.

6.7.3. Om allmänhetens förtroende

Regeringens förvaltningspolitiska skrivelse till riksdagen i mars 2014 inleds med orden

En väl fungerande offentlig förvaltning är av avgörande betydelse för medborgarnas välfärd liksom för samhällsekonomin och den ekonomiska tillväxten.89

I samma skrivelse framhåller regeringen också betydelsen av att det allmänna har förtroende för de statliga myndigheterna, landstingen och kommunerna. Att den offentliga förvaltningen åtnjuter medborgares och företags förtroende är en förutsättning för att verksamheten ska fungera. Viljan att gemensamt finansiera den offentliga verksamheten förutsätter att medborgare och företag litar på att skattemedel används på ett ansvarsfullt sätt.90

Medborgarna ska ha förtroende för den statliga förvaltningen och känna tillit till dem som arbetar där. De anställda måste ha gott omdöme, integritet och goda kunskaper om den lagstiftning som är grunden för statsförvaltningens verksamhet. Det är dock inte tillräckligt att myndigheterna handlar opartiskt, omsorgsfullt och i övrigt korrekt i formell mening. De måste också lämna snabba, enkla och entydiga besked och hjälpa medborgare och företag att utöva sina rättigheter och fullgöra sina skyldigheter.

6.8. Närmare om kommuner och landsting

Sveriges kommuner har ett brett uppdrag och olika roller av skiftande karaktär. /---/ Den decentraliserade samhällsmodellen ställer höga krav på kommunernas förmåga att hantera de utmaningar som följer av samhällsutvecklingen. Den förutsätter bl.a. att varje enskild kommun tar ansvar för att söka stärka sin kapacitet, förnya verksamheten, öka effektiviteten och utveckla demokratin. Ett tydligt politiskt ledarskap, en väl fungerande organisation, en effektiv styrning och ett starkt lokalt ansvarstagande är avgörande för kommunernas möjlighet att förverkliga de demokrati- och effektivitetsvärden som den kommunala självstyrelsen ska uppnå. Regleringen i RF visar att det finns högt ställda förväntningar på att kommunerna kan utföra sina uppgifter och spela en viktig roll i samhället. Kommunerna förutsätts ha förmåga att ta ett omfattande och

89 Skr. 2013/14:155, s. 11, bet. 2013/14:FiU37, rskr. 2013/14:300. 90 Skr. 2013/14:155, s. 11, bet. 2013/14:FiU37, rskr. 2013/14:300.

betydande ansvar för välfärd och lokal samhällsutveckling samt ha goda förutsättningar att möta framtida utmaningar.91

Kommuner och landsting har ansvaret för en stor del av den offentliga förvaltningen i Sverige. Varje landsting omfattar ett län om inte något annat är särskilt beslutat. Det finns 290 kommuner och 20 landsting (Gotlands kommun har ett landstingsansvar). Samtliga kommuner följer samma lagstiftning och har i huvudsak samma ansvar och uppgifter. Den enhetliga modellen bidrar till en begriplig och funktionellt utformad samhällsorganisation samt medverkar till en effektiv offentlig förvaltning och en tydlig ansvarsfördelning. Samtidigt finns stora skillnader mellan landets kommuner, vilket påverkar deras möjligheter att hantera sina uppgifter. Kommunerna och landstingen varierar starkt både till befolkning (antalet medlemmar i kommunen) och yta. Antalet invånare i kommunerna varierade 2016 mellan knappt 2 500 invånare i Bjurholms kommun till drygt 936 000 invånare i Stockholms kommun. Av tabellen nedan framgår att majoriteten av alla kommuner har som högst 25 000 invånare.

Källa: Finansdepartementet, Ds 2017:60, Genomförande av webbtillgänglighetsdirektivet.

Till ytan varierade kommunernas storlek mellan nio kvadratkilometer (Sundbybergs kommun) till drygt 19 000 kvadratkilometer (Kiruna kommun).

Bland landstingen hade 2016 Stockholms läns landsting flest invånare, nästan 2 269 000 och Jämtlands läns landsting det minsta antalet, 129 000 invånare.92 Som framgår av tabellen nedan är det endast tre landsting som har över 1 miljon invånare.

91 Dir. 2017:13, Stärkt kapacitet i kommunerna för att möta samhällsutvecklingen. 92 Skr. 2016/17:102, utvecklingen inom den kommunala sektorn.

Källa: Finansdepartementet, Ds 2017:60, Genomförande av webbtillgänglighetsdirektivet.

Kommunernas och landstingens skiftande storlek tillsammans med bland annat skillnader i inkomstförhållanden och ålderssammansättning skapar, trots skatteutjämning och statsbidrag, betydande olikheter i kommunernas förmåga att tillhanda digitala tjänster. Samtidigt är kraven på vad kommunen eller landstinget ska utföra, som framförts ovan, lika. Denna obalans mellan förmåga och krav är en av digitaliseringens största utmaningar.

Kommunerna och landstingen är till skillnad från staten förvaltning genom förtroendevalda. Som framgår ovan är en kommun eller ett landsting en egen juridisk person.

Kommunernas och landstingens ställning, organisation och verksamhet är, förutom i regeringsformen, reglerad i kommunallagen och ett stort antal författningar – speciallagar – med inriktning på särskilda verksamheter samt EU-rätten.

Enligt regeringsformen sköter kommunerna och landstingen lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. På samma grund sköter kommunerna och landstingen även de övriga angelägenheter som riksdagen har bestämt i lag.93

Den kommunala självstyrelsen syftar ytterst till att stärka demokratin och göra den offentliga verksamheten mer effektiv. Staten kan tilldela kommunerna uppgifter och utformar styrningen av deras verksamhet. Statens styrning syftar till att säkerställa dels att kommunerna utför de tilldelade uppgifterna i enlighet med nationellt fastställda mål och krav, dels att den offentliga servicen är likvärdig och rättssäker.94 Sverige ratificerade 1989 den Europeiska konventionen om kommunalt självstyre.95

9314 kap. 2 § regeringsformen (1974:152). 94 Dir. 2017:13, Stärkt kapacitet i kommunerna för att möta samhällsutvecklingen. 95Prop. 1988/89:119, bet. 1988/89:KU32, rskr. 1988/89:251.

Det finns inte någon lagfäst definition av vad som avses med kommunal självstyrelse men principen om kommunal självstyrelse gäller för all kommunal verksamhet, även den som är föremål för särskild reglering. Dock är det möjligt att föreskriva skyldigheter för kommuner och landsting i speciallagstiftning i de fall detta motiveras av vikten av att åstadkomma en reglering som ger likvärdig service för invånarna oberoende av var de är bosatta. En inskränkning i den kommunala självstyrelsen bör, enligt regeringsformen, inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett den.96

Vid en eventuell inskränkning av det kommunala självstyret måste den så kallade proportionalitetsprincipen beaktas.97

Av kommunallagen framgår att kommuner och landsting får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunen eller landstingets område eller deras medlemmar.98 Däremot får kommuner och landsting inte ha hand om sådana angelägenheter som enbart staten, en annan kommun, ett annat landsting eller någon annan ska ha hand om.99

För kommuner och landsting gäller likställighetsprincipen som innebär att kommuner och landsting ska behandla sina medlemmar lika, om det inte finns sakliga skäl till något annat.100

Många viktiga samhällsfunktioner är obligatoriska uppgifter för kommunerna och landstingen. Exempel på obligatoriska uppgifter finns inom t.ex. plan- och byggväsendet, skolväsendet, socialtjänsten samt inom hälso- och sjukvården.101 Kommunerna och landstingen kan även bedriva frivillig verksamhet på t.ex. kultur- och fritidsområdet. De största verksamheterna i kommunerna är utbildning och vård och omsorg. Landstingens dominerande verksamheter är hälso- och sjukvård.102

Kommunerna bedriver en stor del av sin verksamhet i egen regi. Kommuner och landsting får driva näringsverksamhet om den drivs

9614 kap. 3 § regeringsformen (1974:152). 97Prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304. 982 kap. 1 § kommunallagen (2017:725). 992 kap. 2 § kommunallagen (2017:725). 1002 kap. 3 § kommunallagen (2017:725). 101 Se bl.a. Hälso- och sjukvårdslagen (2017:30), Socialtjänstlagen (2001:453), Skollagen (2010:800), Plan- och bygglagen (2010:900). 102 Skr. 2016/17:102, utvecklingen inom den kommunala sektorn.

utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna.103

Kommuner och landsting har även möjlighet att bedriva viss verksamhet i andra juridiska personer som t.ex. aktiebolag. Även verksamheter i sådana juridiska personer omfattas av de kommunala kompetensreglerna. Det innebär att kommuner och landsting, med de begränsningar som framgår av lag, får överlämna skötseln av kommunala angelägenheter till kommunala bolag, stiftelser, föreningar och till privata utförare.104 Fullmäktige ska för varje mandatperiod anta ett program med mål och riktlinjer för sådana kommunala angelägenheter som utförs av privata utförare. I programmet ska det också fastställas hur fullmäktiges mål och riktlinjer ska följas upp och hur allmänhetens insyn ska tillgodoses.105

Med köp av verksamhet avses, utöver upphandlad verksamhet där kommuner och landsting behåller huvudmannaskapet, även bidrag som ges till enskilda huvudmän inom skolväsendet. Köpen görs från föreningar, stiftelser, privata företag och enskilda personer, men även från andra kommuner, landsting, kommunalförbund och i viss utsträckning från staten.

6.8.1. Fullmäktiges och styrelsens uppgifter

I kommuner och landsting är fullmäktige ansvarig för verksamhetens resultat, kvalitet och innehåll. Kommunfullmäktige och landstingsfullmäktige beslutar i ärenden av principiell beskaffenhet eller annars av större vikt för kommunen eller landstinget, främst mål och riktlinjer för verksamheten, budget, skatt och andra viktiga ekonomiska frågor, nämndernas organisation och verksamhetsformer, årsredovisning och ansvarsfrihet m.m.106

Fullmäktige prövar varje år om verksamheten är ändamålsenlig och effektiv i nämnder, beredningar, kommunalförbund och finansiella samordningsförbund samt indirekt i kommunala företag.

Styrelsen ska leda och samordna förvaltningen av kommunens eller landstingets angelägenheter och ha uppsikt över övriga nämn-

1032 kap. 7 § kommunallagen (2017:725). 1043 kap.1112 §§ och 10 kap.19 §§kommunallagen (2017:725). 1055 kap. 3 § kommunallagen (2017:725). 1065 kap. 1 § kommunallagen (2017:725).

ders och eventuella gemensamma nämnders verksamhet. Styrelsen ska också ha uppsikt över kommunal verksamhet som bedrivs i bolag, privata utförare, stiftelser och föreningar, dvs. sådana juridiska personer som avses i kommunallagens 10 kap. 2–6 §§ och sådana kommunalförbund som kommunen eller landstinget är medlem i. Styrelsen ska varje år lämna en årsredovisning till fullmäktige.

6.8.2. Kommuner och landsting i statsbudgeten

Kommuner och landsting finansieras till en mindre del av statsbidrag från statsbudgeten. Den huvudsakliga finansieringen av kommunernas verksamheter är kommunernas egna skatteintäkter.

Statsbudgetens bidrag till finansieringen av kommunernas och landstingens verksamheter finns inom ramen för utgiftsområde 25 Allmänna bidrag till kommuner och därutöver inom respektive utgiftsområde som finansierar riktade statsbidrag till kommuner och landsting.

Det av riksdagen beslutade målet för utgiftsområde 25 Allmänna bidrag till kommuner är att skapa goda och likvärdiga ekonomiska förutsättningar för kommuner och landsting som bidrar till en effektiv kommunal verksamhet med hög kvalitet. Målet riktar sig inte till kommunerna och landstingen utan är ett mål för inriktningen och ändamålet med statens generella statsbidrag inom utgiftsområdet.

Statsbidrag

Statsbidrag innebär att en statlig myndighet betalar ut ett bidrag till en annan juridisk person, till exempel en privaträttslig organisation eller kommunal verksamhet.

Statsbidragen till kommuner och landsting består av både generella bidrag och riktade bidrag. Enligt nationalräkenskaperna uppgick statsbidragen till kommuner och landsting 2016 till 185 miljarder kronor. Av beloppet utgjordes 90 miljarder kronor av generella statsbidrag och 96 miljarder kronor av riktade statsbidrag.107

107Prop. 2017/18:1, utgiftsområde 25.

De generella statsbidragen är anslagsmedel som utbetalas på statsbudgetens utgiftssida från utgiftsområde 25 Allmänna bidrag till kommuner och utgör ett allmänt stöd till kommuner och landsting.

De generella statsbidragen är ett instrument för att bidra till kommunernas och landstingens möjlighet att driva verksamheten utifrån lokala förutsättningar.

Med riktade statsbidrag menas här statsbidrag avsedda för konsumtion från anslag under andra utgiftsområden än utgiftsområde 25. De riktade statsbidragen utbetalas från flera olika utgiftsområden. Till skillnad från de generella statsbidragen är de riktade statsbidragen avgränsade till vissa verksamheter eller prestationer. De kräver i regel någon form av motprestation och återrapportering. Antingen måste de sökas eller så fördelas de enligt en prestationsmodell. De flesta statsbidragen är ensidigt beslutade av staten, men vissa regleras genom överenskommelser mellan staten och SKL.

Enligt Statskontoret kan det finnas flera motiv för statsmakterna att besluta om riktade statsbidrag. Ett motiv har varit att staten har ansett att det finns behov av att öka styrningen av verksamheterna för att nå de nationella målen. I sin analys av statens styrning av kommunal verksamhet underströk Statskontoret att det från flera håll har riktats kritik mot en alltför stor användning av riktade statsbidrag som styrmedel. En del av kritiken handlar om den ökning av administration bidragen i allmänhet skapar, men kritiken handlar också om att de riktade bidragen skapar osäkra förutsättningar för kommuner och landsting att planera sin verksamhet.108

108 Statskontoret 2016:24, Statens styrning av kommunerna.

7. Mål för den offentliga förvaltningens digitaliseringsarbete

Utredningen bedömer:

Digitaliseringen är en av samtidens mest påtagliga omvandlingsprocesser. Den offentliga förvaltningen är en viktig aktör. Statens åtagande i den digitala infrastrukturen är av avgörande betydelse inte bara för medborgarnas välfärd utan även för innovationer och näringslivsutveckling. Det är därför rimligt att digitaliseringsarbetet får en plats i den demokratiska processen för styrning och ansvarsutkrävande. Det bör därför finnas ett av riksdagen beslutat gemensamt mål för den offentliga förvaltningens digitaliseringsarbete. Målet ska vara bindande för regeringen i regeringens styrning av sina myndigheter och i förekommande fall i sin styrning av kommuner och landsting. Målet bör även vara ett riktmärke för riksdagen i riksdagens beslut om bestämmelser för kommuner och landsting.

Utredningen föreslår:

att regeringen ska föreslå riksdagen att för den offentliga förvalt-

ningens digitaliseringsarbete besluta om målet att

Den offentliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Den offentliga förvaltningens användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.

att regeringen för de statliga myndigheternas digitaliserings-

arbete beslutar om målet att

Den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den statliga förvaltningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.

Förslaget genomförs genom förordningen med mål för de statliga myndigheternas digitaliseringsarbete.

att digitaliseringsmyndigheten ska stödja regeringens arbete

med en samlad analys och bedömning av resultatet av den offentliga sektorns digitaliseringsarbete i förhållande till förslaget till riksdagens mål. Digitaliseringsmyndighetens analys och bedömning av resultatet redovisas i den årliga rapport som utredningen föreslagit.

att regeringen ger digitaliseringsmyndigheten ett särskilt upp-

drag att utforma en metod och process för denna uppgift.

7.1. Mål och …

Digitalisering och it inom offentlig förvaltning redovisas i budgetpropositionen för 2018 inom utgiftsområde 2. Området har tidigare redovisats under utgiftsområde 22, Kommunikationer. Området digitalisering och it inom offentlig förvaltning omfattar frågor om digitalisering och it inom den offentliga förvaltningen, digital mognad, it-användning och it-investeringar i statsförvaltningen, e-handel i staten, elektronisk identifiering och underskrift, förvaltningsgemensam digital infrastruktur, t.ex. plattformar, tjänster, standarder och ramverk, samt vidareutnyttjande av information från den offentliga förvaltningen. Vidare omfattar området myndighetsstyrning av E-legitimationsnämnden.

Att området digitalisering och it inom offentlig förvaltning flyttats från utgiftsområdet 22 till utgiftsområde 2 innebär att dessa frågor inte längre omfattas av det – inom utgiftsområde 22 – riksdagsbundna målet för digitaliseringspolitiken, dvs. det mål som tidigare benämndes målet för it-politiken. Målet för digitaliseringspolitiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Inom utgiftsområde 2 Samhällsekonomi och finansförvaltning finns i dag två riksdagsbundna mål. Dessa är dels målet för finansmarknaden, dels målet för den statliga förvaltningspolitiken.

Området digitalisering inom den offentliga sektorn ingår inte i något av de delområden som dessa mål omfattar. Enligt vad som framgår av budgetpropositionen för 2018 betyder det att det inte längre finns något av riksdagen beslutat mål för området digitalisering inom den offentliga sektorn. Regeringen lämnade i budgetpropositionen för 2018 inte heller något förslag till mål för området för riksdagen att besluta om.

I budgetpropositionen för 2018, liksom i budgetpropositionen för 2017 informerade dock regeringen riksdagen om det mål som regeringen beslutat för detta delområde. Regeringens mål är en enklare

vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.

Regeringen bedömde att ”digitalt” ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag. Digitalt först innebär, enligt regeringen, att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar vid utformningen av sin verksamhet. Samtidigt ska säkerheten och skyddet för den personliga integriteten säkerställas. Med det i beaktande ska det, enligt regeringen, vara enkelt att komma i kontakt med det offentliga Sverige och uppgifter ska om det är möjligt bara behöva lämnas en gång. Den offentliga förvaltningen ska vara effektiv och samarbeta och när det är lämpligt och om möjligt ska den återanvända information, uppgifter och gemensamma lösningar. Den offentliga förvaltningen ska verka för öppenhet, innovation och delaktighet i digitala lösningar.1

Eftersom regeringen i budgetpropositionen endast informerat riksdagen om sitt mål för den digitala offentliga förvaltningen och riksdagen därmed inte beslutat om regeringens mål är detta mål att betrakta som en redovisning av regeringens egna ambitioner för digitaliseringen inom den offentliga sektorn. Budgetpropositionen är ett dokument som regeringen lämnar till riksdagen. Budgetpropositionen är inte ett dokument som riktar sig till regeringens myndigheter eller till kommuner och landsting. Regeringens information om målet i budgetpropositionen är inte bindande styrning för de

1Prop. 2017/18:1, utgiftsområde 2.

statliga myndigheterna som lyder under regeringen. För att målet ska vara bindande för myndigheterna måste det finnas med i ett dokument som riktar sig direkt till myndigheterna.

För närvarande finns inte något generellt styrande mål och återrapporteringskrav för de statliga myndigheternas digitaliseringsarbete. Utredningen har gått igenom regeringens regleringsbrev till myndigheterna 2017 och konstaterar att regeringen, med några undantag, inte omsätter sitt eget mål för digitaliseringen av den offentliga förvaltningen i de statliga myndigheternas regleringsbrev.

7.2 … resultatstyrning

Av budgetlagens bestämmelser framgår att regeringen i budgetpropositionen ska lämna en redovisning av de resultat som uppnåtts i verksamheten i förhållande till de mål som riksdagen beslutat, s.k. utgiftsområdesmål. Denna resultatredovisning ska vara anpassad till utgiftsområdena.2 I budgetpropositionen redovisar, analyserar och bedömer regeringen resultaten (måluppfyllelsen) i förhållande till de mål som riksdagen beslutat. Riksdagens bedömning av resultaten och återkoppling till regeringen med anledning av det, finns i respektive riksdagsutskotts budgetbetänkande. Därutöver följer varje utskott upp och utvärderar riksdagsbeslut inom utskottets ämnesområde.3

Bestämmelsen i budgetlagen utesluter inte att regeringen kan lämna resultatredovisningar även i andra sammanhang. Enligt regeringen kan det tvärtom vara naturligt att regeringen redovisar fördjupade analyser av olika verksamheter i skrivelser och i särpropositioner. Detta är särskilt motiverat på sektorsövergripande områden där verksamheten bedrivs och finansieras från flera olika utgiftsområden. Det kan även vara lämpligt på områden där andra styrmedel än ekonomiska sådana används i stor omfattning, t.ex. lagstiftning. Riksdagen kan även begära resultatinformation för olika verksamheter när behov finns.

De myndigheter under regeringen som ingår i den statliga redovisningsorganisationen ska senast den 22 februari varje år lämna en årsredovisning till regeringen som bl.a. ska innehålla en resultatredo-

210 kap. 3 § budgetlagen (2011:203). 34 kap. 8 § regeringsformen (1974:152).

visning. I resultatredovisningen ska myndigheterna redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av myndighetens instruktion eller, i förekommande fall, till vad som anges i regleringsbrev eller andra regeringsbeslut.4

De statliga myndigheternas resultatredovisningar är viktiga underlag för regeringens analys och bedömning av myndigheternas verksamheter och resultat och för regeringens resultatredovisning till riksdagen.

Exempel – mål och återrapporteringskrav i regleringsbrev för 2017

De mål som regeringen beslutat i statliga myndigheters regleringsbrev är bindande styrning för de aktuella myndigheterna. Utredningen har gått igenom regeringens regleringsbrev till myndigheterna 2017 och konstaterar att regeringen, med några undantag, inte omsätter sitt eget mål för digitaliseringen av den offentliga förvaltningen i de statliga myndigheternas regleringsbrev.

Under rubriken Mål och återrapporteringskrav i Bolagsverkets regleringsbrev för 2017 framgår att Bolagsverket ska tillhandahålla behovsanpassad och lättillgänglig information och service av hög kvalitet för företag och medborgare så att företags och medborgares kontakter med myndigheten blir enklare och effektivare. Digitala tjänster ska utformas, så långt det är möjligt och där det är relevant, så att de är förstahandsvalet i medborgares, organisationers och företagskontakter med Bolagsverket. Bolagsverket ska i budgetunderlaget redogöra för de insatser som har genomförts eller som Bolagsverket planerar att genomföra fram till 2020 för att utveckla myndighetens digitala tjänster samt göra information och service behovsanpassad och lättillgänglig. Redogörelsen ska innehålla kostnader och förväntad nytta med insatserna.

Under samma rubrik framgår även att Bolagsverket ska redovisa hur myndigheten under 2017 har arbetat för att öka anslutningen av relevanta meddelandeflöden till Mina meddelanden inom myndighetens ansvarsområde.

43 kap. 1 § förordningen (2000:605) om budgetunderlag och årsredovisning.

Under rubriken Uppdrag framgår dessutom att Bolagsverket ska ansvara för basförvaltning avseende den gemensamma e-tjänsten verksamt.se. Verket ska ha ansvar för förvaltning av teknisk drift, underhåll och förvaltning av ingående system i verksamt.se samt kundtjänst och support av dessa lösningar.

I Migrationsverkets regleringsbrev för 2017, under rubriken mål och återrapporteringskrav, finns ett mål för digitalisering som innebär betydande produktivitetsökningar. I anslutning till målet – som enligt utredningens bedömning avser myndighetens interna verksamhetsutveckling – anför regeringen att it-utvecklingen i högre utsträckning än tidigare ska omfatta hela myndighetens verksamhet. It-stöd ska utvecklas och införas så att betydande produktivitetsökningar, stärkt rättssäkerhet och ett väsentligt utvecklat stöd till kärnverksamheten uppnås under 2017. Utveckling av en gemensam processtandard ska vara en grund för utvecklingen av stödet. Myndigheten ska även under 2017 ansluta till Mina meddelanden.

I sin återrapportering ska Migrationsverket redovisa måluppfyllelsen och genomförda insatser för att uppnå målet. Särskild vikt ska läggas vid insatsernas konsekvenser för verksamheten i termer av effekthemtagning. Effekterna av anslutningen till Mina meddelanden ska också redovisas. Effekter i form av förbättrad service till målgrupper och effektivitetsvinster i handläggningen ska särskilt beaktas. I återrapporteringen ska Migrationsverket även tydliggöra vilka förutsättningar som krävs för att fler målgrupper ska kunna få information genom tjänsten.

I länsstyrelsernas regleringsbrev för 2017 framgår under rubriken mål och återrapporteringskrav att länsstyrelserna (avser alla länsstyrelser) ska arbeta för att inom sina verksamhetsområden bidra till att uppfylla regeringens mål för digitalisering om en enklare vardag för medborgare och företag, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.

Enligt ett uppdrag i regleringsbrevet ska länsstyrelserna till Boverket redovisa hur långt de har kommit i övergången till en digitaliserad ärendeprocess dels när det gäller tillhandahållande av underlag för kommunernas fysiska planering, dels gällande ärendehantering som följer av kommunernas planering och bygglovsverksamhet. Länsstyrelserna ska beskriva utvecklingen i förhållande till den redovisning

som länsstyrelserna lämnade till Boverket 2016 och effekterna av denna utveckling.

Under rubriken mål och återrapporteringskrav i Livsmedelsverkets regleringsbrev för 2017 står att Livsmedelsverket ska redovisa hur myndigheten under året har arbetat för att öka anslutningen av relevanta meddelandeflöden inom myndighetens ansvarsområde till Mina meddelanden, samt andra större framsteg i myndighetens digitaliseringsarbete.

7.3. Förslag till mål för den offentliga förvaltningens digitaliseringsarbete

Om ett mål är bindande eller inte handlar inte om hur målet i sig är utformat. Det är den styrande som bestämmer om målet ska vara bindande för styrobjektet eller inte. Dock gäller att om målet ska vara bindande måste det kopplas ihop med det eller de objekt som ska styras. Inom ramen för den ekonomiska styrningen i staten beskrivs mål vanligen som önskade framtida resultat eller tillstånd vid en viss framtida tidpunkt.5 Dessa tillstånd bör främst vara lokaliserade utanför den agerande aktörens verksamhet, dvs. i samhället som helhet eller hos individer i samhället. Mål bör i första hand avse effekter eller utfall av verksamheten. I vissa fall kan det dock finnas skäl att formulera mål som avser utvecklingsområden inom en verksamhet.6 När målen beslutats av riksdagen och regeringen är det viktigt att mål och ambitioner når ut till ansvariga inom statsförvaltningen.7

I delbetänkandet8 betonade utredningen behovet av tydliga och styrande mål och sin avsikt att återkomma till denna fråga i slutbetänkandet. I delbetänkandet föreslog utredningen även att regeringen ska lägga fast ett för alla myndigheter tydligt och styrande mål för när den digitala förvaltningen ska vara genomförd inom staten, dvs. ett tidsbestämt mål. Tidsbestämningen skulle kunna tillämpas

5 ESV 2006:7, Måluppfyllelseanalys, Hur måluppfyllelse, effekter och effektivitet kan undersökas och rapporteras. 6SOU 2015:43, Vägar till ett effektivare miljöarbete, slutbetänkande av Miljömyndighetsutredningen. 7Prop. 2009/10:175, s. 99. 8SOU 2017:23, digitalforvaltning.nu, delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster.

olika för olika statliga myndigheter eftersom deras förutsättningar i digitaliseringsarbetet varierar. Utredningen menar dock att det inte hindrar att samtliga statliga myndigheter omfattas av ett och samma gemensamma mål för sitt digitaliseringsarbete, tvärtom är det av flera olika skäl, viktigt att alla myndigheter under regeringen har samma mål och återrapporteringskrav för sitt digitaliseringsarbete. Ett tungt vägande skäl är att enskilda i så stor utsträckning som möjligt ska få så likvärdig service som möjligt oavsett myndighet. Ett annat skäl är att underlätta samverkan mellan myndigheterna.

Utredningen menar dessutom att inte endast myndigheterna under regeringen utan alla offentliga myndigheter bör omfattas av ett och samma mål för sitt digitaliseringsarbete. Detta för att enskilda individer i sina kontakter med de offentliga myndigheterna ska kunna förvänta sig att i sina kontakter bli bemötta och få likvärdig service oavsett offentlig myndighet.

Det är även viktigt eftersom en betydande del av de offentliga myndigheternas digitaliseringsarbete handlar om att analysera vilka processer som kan stödjas av och effektiviseras med digitala medel oavsett om det avser myndigheternas externa eller interna kontakter. Men det är också viktigt eftersom de offentliga myndigheterna i sitt digitala utvecklingsarbete förväntas effektivisera och samverka med andra myndigheter och för att utvecklingen går i riktning mot att den offentliga förvaltningen har en större andel gemensamma (digitala) resurser.

Myndigheterna behöver därför på ett så konkret sätt som möjligt veta vad det är de ska sträva mot, också för att kunna bedöma om de uppfyller sina skyldigheter eller inte. Ett samlat och tydligt grepp om den offentliga förvaltningens digitalisering måste innebära att det står klart för de inblandande instanserna vad som förväntas av dem. De författningsförslag som utredningen lämnar innebär dessutom att det offentliga åtagandet avseende förvaltningsgemensamma digitala funktioner utvidgas i betydande omfattning. För att riksdagens och regeringens styrning och resultatredovisning av de offentliga myndigheternas digitaliseringsarbete – och inte minst styrningen av förvaltningsgemensamma digitala funktioner – ska kunna vara så effektiv som möjligt bedömer utredningen att de ska omfattas av ett för hela den offentliga förvaltningen gemensamt mål som riksdagen beslutat.

7.3.1. Förslag till riksdagsbundet mål för den offentliga förvaltningens digitaliseringsarbete

Det mål som utredningen föreslår att riksdagen ska besluta om överensstämmer delvis med det mål som regeringen redovisar som sitt under rubriken mål i avsnittet om Digitalisering och it inom offentlig förvaltning i budgetpropositionen för 2018.9 Det mål som regeringen redovisar i budgetpropositionen är dock, med några undantag, inte ett bindande mål för de statliga myndigheterna som lyder under regeringen, än mindre för övriga myndigheter i den offentliga förvaltningen, dvs. kommuner och landsting. Utredningen föreslår att målet ska vara

Den offentliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Den offentliga förvaltningens användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.

Utredningens förslag till riksdagens beslut om mål för den offentliga förvaltningens digitaliseringsarbete innebär – om det genomförs – att det blir direkt bindande för regeringen. Det innebär bl.a. att regeringen i budgetpropositionen till riksdagen ska redovisa den offentliga förvaltningens resultat i förhållande till det av riksdagen beslutade målet.10

Av budgetlagens bestämmelser framgår att regeringen i budgetpropositionen ska lämna en redovisning av de resultat som uppnåtts i verksamheten i förhållande till de mål som riksdagen beslutat, s.k. utgiftsområdesmål. Denna resultatredovisning ska vara anpassad till utgiftsområdena.11

9Prop. 2017/18:1, utgiftsområde 2, s. 93. 1010 kap. 3 § budgetlagen (2011:203). 1110 kap. 3 § budgetlagen (2011:203).

7.3.2. Utredningen rekommenderar mål för kommunernas och landstingens digitaliseringsarbete

SKL, som inte är en myndighet utan en politiskt styrd privaträttslig arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner i landet har utformat mål för sitt arbete att driva på, stödja och samordna medlemmarna för att ta vara på digitaliseringens möjligheter. SKL strävar sedan de beslutades 2011 mot tre övergripande mål för framtidens digitala samhälle:

  • en enklare vardag för privatpersoner och företag,
  • smartare och öppnare förvaltning stödjer innovation och delaktighet,
  • högre kvalitet och effektivitet i verksamheten.

Dessa mål ingår i SKL:s strategi för att digitalisera samhället och att förbättra den kommunala sektorns förutsättningar för utveckling av e-förvaltning.

SKL:s mål är inte bindande för kommuner och landsting. Inte heller riksdagens beslut om mål för utgiftsområden – däribland det mål som utredningen föreslår att riksdagen ska besluta – innebär att de är bindande styrmedel för kommuner och landsting. För att styrningen av digitaliseringsarbetet i hela den offentliga sektorn ska kunna sträva mot samma mål vill utredningen i ljuset av avsiktsförklaringen mellan staten och SKL för en digital förnyelse av det offentliga Sverige, rekommendera fullmäktige i kommuner och landsting att utforma egna mål i samma anda som de mål som utredningen föreslår att riksdagen och regeringen ska besluta.

Kommun- och landstingsstyrelsen lämnar en årsredovisning till fullmäktige efter varje avslutat verksamhetsår. Bestämmelserna om kommunernas och landstingens bokföring och årsredovisning finns i lagen om kommunal redovisning.12 Där framgår bl.a. att årsredovisningens förvaltningsberättelse ska innehålla en utvärdering av om de av fullmäktige beslutade målen och riktlinjerna, som är av betydelse för en god ekonomisk hushållning, har uppnåtts och följts.

1211 kap. kommunallagen (2017:725), lagen (1997:614) om kommunal redovisning.

7.3.3. Förslag till mål för de statliga myndigheternas digitaliseringsarbete

Riksdagens beslut om mål för utgiftsområden innebär dock inte att de är bindande för de statliga myndigheterna som lyder under regeringen. En förutsättning för att målen ska vara direkt bindande för myndigheterna under regeringen är att de finns med i något av de styrdokument som riktas direkt till dem. Utredningen föreslår därför att regeringen – i en ny förordning som ska gälla för myndigheterna under regeringen – ska besluta om ett mål för digitaliseringen av myndigheterna och om myndigheternas resultatredovisning i förhållande till målet.

Utredningen bedömer att det är viktigt att regeringen beslutar om ett långsiktigt mål, dvs. ett mål som ska vara styrande för de statliga myndigheternas digitaliseringsarbete i tre år eller längre. Det innebär att regeringen bör besluta om ett mål i ett styrdokument som inte – såsom regleringsbrevet – är begränsat till ett budgetår.

Det är också viktigt att alla statliga myndigheter omfattas av ett och samma mål för digitaliseringsarbetet eftersom resultatet, dvs. effekterna av digitaliseringsarbetet handlar om myndigheternas service och kontakter med enskilda och att enskilda bör kunna förvänta sig samma service och möjligheter till kontakt oavsett myndighet. Ett annat styrdokument är den förordning med instruktion som regeringen beslutar om för alla statliga myndigheter. Även om alla statliga myndigheter har en instruktion är varje instruktion myndighetsspecifik och inte ett generellt styrmedel som gäller lika för alla myndigheter. Av instruktionen framgår den specifika myndighetens uppdrag och uppgifter m.m. som formuleras i termer som svarar mot den specifika myndighetens befogenheter. Risken med att föra in ett förvaltningsgemensamt mål för de statliga myndigheternas digitaliseringsarbete i instruktionen är att det skulle komma att anpassas till den specifika myndighetens uppdrag och därmed förlora den förvaltningsövergripande inriktningen. Utredningen förordar därför att regeringen i en särskild förordning som gäller för alla statliga myndigheter som lyder under regeringen beslutar om ett gemensamt och förvaltningsövergripande mål för digitaliseringsarbetet.

Utredningens förslag till mål för de statliga myndigheternas digitaliseringsarbete är att den statliga förvaltningens användning av

digitala medel ska leda till att det blir så enkelt som möjligt för så många

som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den statliga förvaltningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.

De myndigheter som enligt förslaget omfattas av regeringens förordning med mål för digitaliseringsarbetet ska varje år till regeringen redovisa verksamhetens resultat i förhållande till målet i sina årsredovisningar. Resultatet ska redovisas i enlighet med 3 kap. 1 § förordningen om årsredovisning och budgetunderlag.13

Målen ska tillämpas från och med 2019

Utredningen anser att målen bör vara beslutade och tillämpas fr.o.m. budgetåret 2019. Därmed ska regeringen respektive myndigheterna under regeringen lämna resultatredovisningen av måluppfyllelsen år 2020.

7.4. Digitaliseringsmyndigheten stödjer regeringen – följer upp och analyserar

Utredningen föreslog i delbetänkandet att det ska ingå i den kommande digitaliseringsmyndighetens uppdrag att i en rapport till regeringen senast den 15 mars årligen redovisa och analysera den offentliga sektorns digitalisering. Rapporten ska även, enligt förslaget, spegla utvecklingen inom kommuner och landsting. I uppdraget ingår att analysera om de insatser som genomförs leder till regeringens mål och om insatserna är i linje med regeringens prioriteringar och vid behov föreslå åtgärder eller förändrade regelverk.

Utredningen bedömer att det i detta uppdrag även bör ingå att stödja regeringens arbete med en samlad analys och bedömning av resultatet av samtliga offentliga myndigheters digitaliseringsarbete i förhållande till förslaget till riksdagens mål för detta och att denna analys och bedömning redovisas i den årliga rapporten.

Utredningen föreslår att regeringen ger digitaliseringsmyndigheten ett särskilt uppdrag att utforma en metod och process för denna uppgift.

133 kap. 3 § förordningen (2000:605) om årsredovisning och budgetunderlag.

8. En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner

8.1. Digitalisering, infrastruktur och styrning

Den digitala infrastrukturen beskrivs ofta som bestående av en hård och mjuk del. Till hårda infrastrukturen hör teknisk utrustning för att förmedla elektroniska signaler som bredbandsnät och mobilmaster. Dit hör också den tekniska utrustning som företag och hushåll behöver för att kommunicera och bearbeta information som datorer, mobiltelefoner m.m. samt utrustning för lagring och förmedling.

Som delar av den mjuka infrastrukturen brukar nämnas lagar och annan form av reglering som standarder, branschöverenskommelser m.m. Organisation och rollfördelning är andra viktiga delar av den mjuka infrastrukturen. Leverantörer av olika former av generella tjänster är en annan central del. Hit kan man räkna söktjänster, sociala medier och liknande som används för privat bruk men även av företag och myndigheter. Det finns också särskilda infrastrukturtjänster som huvudsakligen stödjer företag och myndigheter såsom autentiserings- och verifieringstjänster, meddelandeförmedlingstjänster, informationsbehandlings- och lagringstjänster samt katalogtjänster. Till den mjuka infrastrukturen kan även räknas befolkningens digitala kompetens. Digital kompetens innefattar, enligt Digitaliseringskommissionen, säker och kritisk användning av informationssamhällets teknik i arbetslivet, på fritiden och för kommunikationsändamål. Den underbyggs av användning av datorer för att hämta fram, bedöma, lagra, producera, redovisa och utbyta information samt för att kommunicera

och delta i samarbetsnätverk via internet.1 Digital kompetens är också i vilken utsträckning man är förtrogen med digitala verktyg och tjänster samt har förmåga att följa med i den digitala utvecklingen och dess påverkan på ens liv.

Digital kompetens innefattar kunskaper att söka information, kommunicera, interagera och producera digitalt, färdigheter att använda digitala verktyg och tjänster, förståelse för den transformering som digitaliseringen innebär i samhället med dess möjligheter och risker samt motivation att delta i utvecklingen.2

Den digitala infrastrukturen, både den hårda och mjuka, har inte

en upphovsman eller ägare utan är resultatet av många olika aktörers

ansträngningar. Det offentligas förutsättningar för att reglera och styra över hela denna infrastruktur har vissa begränsningar särskilt vad gäller globala tjänsteleverantörer. Samtidigt är lagar och myndigheter en del av infrastrukturen och de politiska ambitionerna för digitaliseringen avgörande för den framtida samhällsutvecklingen.

Vilken roll det offentliga ska spela i infrastrukturen är beroende av hur väl statsmakterna förmår att samla och utnyttja de resurser man förfogar över, dvs. hur pass effektiv styrningen av den offentliga verksamheten är.

8.2. Ramverk för styrning av den digitala förvaltningen

Utredningen bedömer:

att det är avgörande för den effektiva styrningen av förvaltnings-

gemensamma digitala funktioner att beslutsprocesserna får ett snabbare förlopp.

Utredningen föreslår:

att Regeringskansliet fastställer en intern process för att bereda

initiativ till förvaltningsgemensamma digitala funktioner, utvärdera dem och i förekommande fall inom ramen för de ordinarie processerna, bereda nödvändiga beslutsunderlag.

1SOU 2015:28, Gör Sverige i framtiden – digital kompetens, delbetänkande av Digitaliseringskommissionen. 2 Digitaliseringskommissionen. SOU 2015:28, Gör Sverige i framtiden – digital kompetens, delbetänkande av Digitaliseringskommissionen.

Till ramverket hör de mål som riksdagen och regeringen beslutar och den uppföljning och resultatredovisning som följer av detta. Lagstiftning som omfattar offentliga myndigheter är en viktig del av infrastrukturen och därför också en central del i styrningsramverket.

Hit hör också formerna för samverkan mellan myndigheter och mellan statliga myndigheter och kommuner och landsting. Utvecklingen av förvaltningens digitala kompetens genom kompetensutveckling av chefer och medarbetare i offentlig verksamhet kan även nämnas i sammanhanget.

Samordnande myndigheter har en mycket central roll i ramverket för digital styrning. Regeringen har föreslagit att en digitaliseringsmyndighet ska inrättas från den 1 september 2018. Även andra myndigheter har viktiga roller i den digitala styrningen. Det gäller till exempel Datainspektionen, MSB och PTS. En viktig framgångsfaktor är att digitaliseringsmyndigheten har ett ansvar att utveckla och förvalta den offentliga it-arkitekturen. För norska Difi3 är detta en central uppgift. I Sverige har eSam tagit på sig denna roll med utgångspunkt från e-delegationens arbete.4

It-arkitektur beskrivs på lite olika sätt, men består av principer, rollbeskrivningar, vägledningar, modeller för utveckling, förvaltning och självutvärdering samt standarder. Ett exempel på en sådan princip är att utgå från medborgarnas behov och livshändelser när etjänster utvecklas.

I direktiven till organisationskommittén för bildandet av digitaliseringsmyndigheten skriver regeringen att en utgångspunkt för myndighetens arbete ska vara att i lämpliga delar ta tillvara kunskap och erfarenheter som eSam-verkansprogrammet upparbetat, bl.a. avseende metoder och processer för samverkan.5

Ramverket måste även reglera roller och samverkan. Vidare måste det ange vad som ska vara ett statligt åtagande i form av förvaltningsgemensamma digitala funktioner. Förvaltningsgemensamma digitala funktioner under utveckling liksom andra större förvaltningsövergripande utvecklingsprojekt samlas i en nationell utvecklingsportfölj.

Till utvecklingsportföljen måste knytas beredningsprocesser för att fånga upp och ta till vara på de offentliga myndigheternas initiativ

3 Direktoratet for forvaltning og IKT. 4 Vägledande principer för digital samverkan, e-delegationen 2015. 5 Dir 2017:117 Inrättande av en myndighet för digitalisering av den offentliga sektorn.

till förvaltningsgemensamma digitala innovationer. Sådana processer behövs dels på myndighetsnivå och bör enligt utredningens mening tas fram och drivas av den kommande myndigheten för digitalisering, dels på behörig beslutsnivå.

8.3. En tidsbestämd strategi

Utredningen föreslår:

att regeringen beslutar om en tidsbestämd övergripande plan – en

strategi – för digitalisering och it i den offentliga förvaltningen.

År 2012 presenterade regeringen sin Strategi för en digitalt samverkande statsförvaltning.6 Strategin som ännu inte är avslutad skulle underlätta regeringens arbete med att utveckla statsförvaltningen, och i det sammanhanget vara regeringens plan för förvaltningsgemensamma it-frågor. De mål som ingår i strategin, dvs. en enklare vardag för medborgare, öppnare förvaltning som stödjer innovation och delaktighet och högre kvalitet och effektivitet i verksamheten skulle ange inriktningen på regeringens arbete med att förbättra statsförvaltningens förmåga att samverka digitalt. Målen skulle vidare användas för regeringens koordinering av förvaltningsgemensamma utvecklingsprojekt och för att vägleda beredningen av beslut som skulle leda till ökad samverkansförmåga genom t.ex. fler förvaltningsgemensamma funktioner eller standarder. I strategin beskrev regeringen sina målsättningar för digitala funktioner som är gemensamma för hela statsförvaltningen, såsom Mina meddelanden.

Utredningen menar att det nu är hög tid att avsluta denna strategi och ersätta den med en ny övergripande plan – en ny tidsbestämd strategi – för digitalisering och it inom den offentliga förvaltningen. Strategin bör bl.a. innehålla tydliga milstolpar för när föreslagna offentliga åtaganden och andra åtgärder ska finnas på plats. Skälen till det är flera. Dels är den nu gällande strategin till stora delar överspelad. Jämfört med 2012 har den offentliga förvaltningen 2018 ett nytt utgångsläge för sitt digitala utvecklingsarbete. Utredningen kan dock samtidigt konstatera att flera av strategins förvaltningsgemen-

6 Näringsdepartementet 2012, N2012/6402/ITP,Regeringens strategi för en digitalt samverkande statsförvaltning – Med medborgaren i centrum.

samma utvecklingsprojekt – som när strategin beslutades bedömdes vara särskilt viktiga för statsförvaltningens förmåga att samverka digitalt fortfarande – efter mer än fem år – inte har genomförts fullt ut. Bland dessa förvaltningsgemensamma utvecklingsprojekt finns bl.a. Svensk e-legitimation och Mina meddelanden. Dels är den nuvarande strategin avgränsad till enbart den statliga förvaltningen och därutöver avsedd att bidra till att nå målet för digitaliseringspolitiken inom utgiftsområde 22,7 dvs. att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Frågor om digitalisering och it inom den offentliga förvaltningen är i dag överflyttade från politiken för informationssamhället inom utgiftsområde 22 till utgiftsområde 2. Inom utgiftsområde 2 är digitalisering och it inom den offentliga förvaltningen ett eget delområde och är, som framgått, för närvarande i avsaknad av ett riksdagsbundet mål.

Utredningen föreslår att regeringen – i denna omstart av politiken för digital förvaltning – beslutar om en ny tidsbegränsad strategi för hela den offentliga förvaltningen tillsammans med det förslag till riksdagsbundet mål för hela den offentliga förvaltningen som utredningen lämnar i detta betänkande.

Utredningen menar att en strategi med milstolpar för när olika beslut och åtgärder bör vara genomförda ska vara tidsbegränsad till tre år. Exempel på milstolpar är de förslag för effektiv styrning av förvaltningsgemensamma digitala funktioner som utredningen lämnar i detta betänkande. Däri ingår bl.a. riksdagens och regeringens beslut om förslagen till de olika författningar som avgränsar och tydliggör det offentliga åtagandet och styrningen av förvaltningsgemensamma digitala funktioner som utredningen presenterar avseende Mina meddelanden och statlig elektronisk identitetshandling liksom de kompletterande bestämmelser till EU:s förordning om elektronisk identifiering som utredningen föreslår.

Andra exempel på milstolpar är Regeringskansliets beslut om nödvändiga processer för att bereda och bedöma förslag till nya förvaltningsgemensamma digitala funktioner och andra förvaltningsgemensamma digitala tjänster samt att digitaliseringsmyndigheten är etablerad och har börjat leverera resultat i förhållande till sin instruktion. För att sätta ett yttre tryck på digitaliseringsarbetet inom den

7Prop. 2011/12:1, bet. 2011/12:TU1, rskr. 2011/12:87.

offentliga förvaltningen och för att den effektiva styrningen av förvaltningsgemensamma digitala funktioner ska kunna komma på plats utan ytterligare fördröjning är tre år en lämplig tidsrymd. Därefter bör regeringen utvärdera effekterna och vidta de korrigerande åtgärder som behövs för att styra utvecklingen mot önskat mål.

8.4. Avsiktsförklaring mellan staten och Sveriges Kommuner och Landsting

Utredningen föreslår:

att regeringen tar initiativ till en förnyad avsiktsförklaring mellan

staten och Sveriges Kommuner och Landsting för digitalisering och it i den offentliga sektorn.

I oktober 2015 beslöt regeringen att skriva under en avsiktsförklaring mellan staten och SKL,8 för en digital förnyelse av det offentliga Sverige. Syftet med avsiktsförklaringen var att tydliggöra hur parterna kan stärka förutsättningarna för digital samverkan mellan staten, kommuner och landsting genom att peka ut ett antal områden för fördjupat samarbete.9 Parterna ska verka för ett gemensamt budskap om digital förnyelse av det offentliga Sverige. Avsiktsförklaringen syftar dessutom till att öka förutsättningarna för en stärkt styrning och uppföljning av digitaliseringen av det offentliga Sverige och verka för ett gemensamt budskap.

Parterna menar att det behövs mer gemensamma digitala funktioner för att stödja utvecklingen av medborgarcentrerade lösningar. Därför ska myndigheterna i större utsträckning dela och tillsammans utveckla digitala lösningar. För att underlätta samverkan är det, enligt avsiktsförklaringen, viktigt att lösa ut frågor om bland annat förvaltningsgemensamma specifikationer för hela den offentliga sektorn, en långsiktig förvaltning av den nationella infrastrukturen och juridiska förutsättningar för en digital förnyelse av det offentliga

8 Sveriges Kommuner och Landsting, SKL, är inte en myndighet utan en politiskt styrd privaträttslig arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner i landet.8 Samtliga Sveriges landsting, kommuner och regioner är medlemmar i SKL. Medlemskapet är dock frivilligt och kan avslutas. 9 2015-10-29, N2015/07455/EF, utdrag Protokoll vid regeringssammanträde.

Sverige. Parterna kommer att fortsätta driva dessa frågor inom ramen för avsiktsförklaringen.

Avsiktsförklaringen gäller till och med utgången av 2018. Då ska behovet av en förnyad avsiktsförklaring utvärderas.

Utredningen anser att det är viktigt att regeringen och SKL som en del av en tidsbegränsad övergripande plan – en strategi – för digitalisering och it inom den offentliga förvaltningen, undertecknar en ny avsiktsförklaring. Syftet är att på så sätt tillsammans stärka och skapa synergier i det förvaltningsgemensamma arbetet med att digitalisera den offentliga förvaltningen mot ett gemensamt mål.

Enligt utredningen är det för sent att göra en sådan utvärdering efter utgången av 2018. En förnyad avsiktsförklaring behövs innan dess. Parterna har möjlighet att i samförstånd revidera avsiktsförklaringen under innevarande period.

9. Informationssäkerhet – en naturlig del i digitaliseringen

Utredningen bedömer:

För att digitaliseringen och dess effekter ska åtnjuta alla aktörers, inklusive individernas, förtroende och leva upp till förväntningarna om trygghet och säkerhet måste informationssäkerhetsarbetet inom offentliga myndigheter styras på ett mer kraftfullt sätt och därmed genomsyra samtliga digitaliseringsprocesser. En kombination av krav på ett systematiskt och riskbaserat informationssäkerhetsarbete, incidentrapportering och tillsyn tillsammans med ett ändamålsenligt stöd ska säkerställa att samhällets aktörer ges möjlighet att hantera och prioritera informationssäkerhetsbehoven.

Utredningen föreslår:

att regeringen inleder ett arbete att samordna och strukturera reg-

lering inom informationssäkerhetsområdet,

att regeringen ger digitaliseringsmyndigheten i uppdrag att ta fram

och mäta nyckeltal för informationssäkerhetsrelaterade aspekter i syfte att följa informationssäkerhetsmognaden i förhållande till digitaliseringen,

att regeringen tar fram rättsliga krav som omfattar samtliga

offentliga myndigheter att införa ett systematiskt och riskbaserat informationssäkerhetsarbete och ge MSB i uppdrag att utreda hur tillsyn över informationssäkerhetsområdet och incidentrapportering kan genomföras.

Digitaliseringen är något som ofta drivs genom att visa på nytta, t.ex. genom att förenkla processer där individer har kontakt med det allmänna. Därmed frigörs resurser som annars hade lagts på administrativt arbete.

Digitaliseringen medför att offentliga myndigheter allt mer är att betrakta som informationsförädlare och sålunda måste ha tillgång till, och kunna behandla, information. Detta ställer krav på ett strukturerat arbetssätt för att säkerställa att den information som behandlas hanteras på ett säkert sätt. Med säker hantering avses både att säkra tillgång till öppen information och att information som inte är öppen ska skyddas. När det uppstår brister i informationssäkerheten kan följden bli omfattande konsekvenser både för samhället i stort och för individers integritet. Tilliten till digitaliseringen kan äventyras.

Det är ofta svårt att motivera investeringar i informationssäkerhet eftersom det sällan ger en synbar eller upplevd nytta direkt vid investeringstillfället. Informationssäkerhet kan t.o.m. av vissa betraktas som något som endast fördyrar, försvårar och riskerar att försena och till och med stoppa projekt. Många organisationer undviker därför att sätta sig in i vilka värden säker hantering av information ger på längre sikt.

Inte sällan betraktas också informationssäkerhetsfrågor som enbart it-frågor vilket innebär att säkerhetsåtgärder av administrativ och organisatorisk art mer eller mindre förbises, exempelvis utformning och följsamhet till arbetssätt och rutiner. Dessutom hänvisas resursförfrågningar till att ingå i rådande it-budget som i sin tur inte behöver vara föremål för någon strategisk satsning.

Informationssäkerhet ska genomsyra alla processer som handlar om digitalisering. Detta har påpekats även i tidigare utredningar och rapporter.

Under 2015 lämnades ett betänkande av NISU 20141 till regeringen. Ett av förslagen i denna utredning var att det bör etableras en nationell modell för att styra samhällets informationssäkerhet.

Även Riksrevisionen2 har påpekat att det behövs en starkare styrning från regeringen gentemot myndigheterna, så att nödvändiga

1SOU 2015:23, Informations- och cybersäkerhet i Sverige – Strategi och åtgärder för säker information i staten, betänkande av NISU 2014. 2 RiR 2016:8, Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäkerhet i staten.

säkerhetsåtgärder verkligen blir genomförda. Att enbart ta fram ett övergripande regelverk är inte tillräckligt för att säkerheten ska bli god. Om regeringen inte efterfrågar information om myndigheternas informationssäkerhet och inte framhåller vikten av god informationssäkerhet bedömer Riksrevisionen att myndigheternas ledningar inte heller kommer att prioritera frågan.

Regeringen har efter sin beredning av NISU:s betänkande och Riksrevisionens rapport tagit fram en nationell cybersäkerhetsstrategi3i vilken det framgår att det ska tas fram en nationell modell till stöd för ett informationssäkerhetsarbete. Huvudsyftena med strategin är att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället. Regeringen vill genom strategin även stödja de insatser och det engagemang som redan finns i samhället för att stärka informations- och cybersäkerheten. Strategin omfattar därmed hela samhället, det vill säga statliga myndigheter, kommuner och landsting, företag, organisationer och individer.

9.1. Fragmenterad styrning av informationssäkerhet

Arbetet med informationssäkerhet är i dag till stor del varje organisations eget ansvar. I och med att organisationer i dag är allt mer beroende av andra för sin informationshantering, exempelvis i de förvaltningsgemensamma digitala funktionerna, är det nödvändigt med samordnade åtgärder för att reducera risker och behålla säkerhetsnivån. Möjligheterna att ytterligare kraftigt öka resurserna som läggs ned på informationssäkerhetsarbetet är dock begränsade inom många organisationer.

Som utredningen konstaterade i delbetänkandet4 är det nationella informationssäkerhetsarbetet i dag uppdelat i olika, delvis överlappande, ansvarsområden, både på departements- och på myndighetsnivå. Detta gör att det i dag saknas ett enhetligt arbetssätt och enhetligt regelverk för samhällets informationssäkerhetsarbete och det finns få gemensamma krav på informationssäkerhet. Expert- och sektorsmyndigheter har, utifrån sitt specifika ansvarsområde eller

3 Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet. 4SOU 2017:23, digitalforvaltning.nu. s. 102–110.

expertområde, gett ut föreskrifter som i olika grad har bäring på informationssäkerhet.

Genom att fler aktörer – utan samordning – utfärdar regler på området finns en stor risk att fragmenteringen av kravställningen på området ökar. Detta får inte sällan till resultat att erfarenheter och kunskap som finns inte nyttjas effektivt, att de resurser som allokeras inte används inom de områden där bristerna är som störst och att utfärdade informationssäkerhetskrav fördröjs eller aldrig blir utförda på grund av oklara ansvarsförhållanden.

Det fragmenterade arbetet leder till att det saknas gemensamma riktlinjer för vilket skydd olika typer av informationstillgångar minst bör ha. Detta leder till att samma typ av information riskerar att få helt olika skydd beroende på var i förvaltningssystemet som den hanteras. Detta innebär inte sällan även effektivitetsbrister då lösningar får olika utformning vilket skapar en minskad interoperabilitet som i sin tur leder till en ökad kostnad.

Mot bakgrund av detta anser utredningen att bristen av samordnat rättsligt stöd medför svårigheter att säkerställa att offentliga aktörer har rätt förutsättningar i sitt arbete med att genomföra och förvalta digitaliseringsarbetet på ett sådant sätt att de tjänster som erbjuds uppfyller tillräckliga krav på tillgänglighet, riktighet och konfidentialitet.

9.2. Att reglera informationssäkerhet

I dagsläget har MSB föreskriftsrätt över statliga myndigheters arbete med informationssäkerhet. Av MSB:s föreskrifter om statliga myndigheters informationssäkerhet5 framgår att

Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen.6

5 MSBFS 2016:1, Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet mars 2016. 6 7 § MSBFS 2016:1.

Nyckelorden i paragrafen är ”ledningssystem”, ”systematiskt” och ”riskbaserat”. Att informationssäkerhetsarbetet ska bedrivas som ett ledningssystem betyder att det ska ingå som en naturlig del i den dagliga verksamheten och inriktas och styras av organisationens ledning. Systematiken innebär att arbetet ska ha en tydlig struktur, bedrivas genom att ställa upp mål på kort och lång sikt och i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering.

Att ett informationssäkerhetsarbete ska vara riskbaserat innebär att det är den aktuella situationen och den aktuella informationsmängden som ställer de exakta kraven på informationssäkerhetsarbetet och de säkerhetsåtgärder som införs. En riskbedömning som genomförs i en organisation som har en informationsmängd på papper är troligen helt skild från den riskbedömning en annan organisation där samma typ av informationsmängd behandlas i ett digitaliserat och uppkopplat system.

Som framgår ovan finns det i dag en reglering inom informationssäkerhetsområdet. Den är dock inte heltäckande och den siktar in sig på de specifika expert- och sektorsmyndigheternas ansvarsområden.

Ett aktivt informationssäkerhetsarbete är en förutsättning för en fortsatt digitalisering. Det ska ses som ett baskrav i alla organisationers informationshantering. I dag finns inom andra områden krav på ett systematiskt och riskbaserat arbete, t.ex. miljö och arbetsmiljö. För arbetsmiljön gäller Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete.7 Det är ett ledningssystem och har till sin struktur många likheter med andra standardiserade ledningssystem. Det finns dock en viktig skillnad – det är ett lagkrav att ha ett systematiskt arbetsmiljöarbete8 som omfattar alla arbetsgivare, medan kravet på ett systematiskt och riskbaserat informationssäkerhetsarbete endast omfattar statliga myndigheter genom en föreskrift.

Målbilden för styrning inom informationssäkerhetsområdet torde vara att få motsvarande effekt av styrningen som på områdena för t.ex. miljö och arbetsmiljö. Det skulle kunna vara att ta fram lagkrav på att införa ledningssystem för informationssäkerhet (LIS) för att höja medvetenheten om området samt att få kravet att träffa samtliga offentliga myndigheter. Det kan också leda till att ge mandat för

7 Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete (AFS 2001:1). 83 kap. 2 a § arbetsmiljölagen (1977:1160).

expert-och sektorsmyndigheter att genomföra inspektioner (tillsyn) och ha sanktionsmöjligheter som ett verktyg.

Utredningen menar att alla offentliga myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Detta för att enskilda individer i sina kontakter med offentliga myndigheter ska kunna förvänta sig en säker informationshantering, oavsett myndighet.

9.3. Tillsyn, revision och uppföljning

Utredningen har inte kunnat finna någon samordnad tillsyn av det systematiska informationssäkerhetsarbetet. Viss tillsyn finns såsom Post- och telestyrelsen (PTS) inom området elektronisk kommunikation9, Datainspektionen för personuppgifter10 samt Försvarsmakten och Säkerhetspolisen gällande säkerhetsskyddet11.

När det gäller kommuner, de som kanske kommer att erbjuda flest digitala tjänster, finns inte några lagkrav på att arbeta systematiskt med informationssäkerhet, inga krav på att rapportera incidenter och inte heller någon tillsyn.

Inom vissa delar av det offentligas verksamhet kommer tillsynen utökas i och med att NIS-direktivet12 träder i kraft i maj 2018, men den tillsynen är endast gentemot samhällsviktig verksamhet inom de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Detta är dock bara en delmängd av de elva sektorer som MSB identifierat13 som samhällsviktiga sektorer. Utöver de samhällsviktiga sektorerna finns all övrig offentlig verksamhet som i dagsläget i stort är helt utan tillsyn.

Vid införande av tillsyn är det viktigt att regleringens olika delar samspelar så att det inte uppstår en obalans mellan dem.14 Om t.ex. vissa delar av tillsynsverksamheten är detaljerat reglerad med avseende på vilka prestationer en tillsynsmyndighet ska åstadkomma

97 kap. lagen (2003:389) om elektronisk kommunikation. 1043 § personuppgiftslagen (1998:204). 1131 § säkerhetsskyddslagen (1996:627). 12 Direktiv (2016/1148/EU) om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. 13 Handlingsplan för skydd av samhällsviktig verksamhet (MSB597) – december 2013. 14 Statskontoret 2012, Tänk till om tillsynen – Om utformningen av statlig tillsyn.

medan andra delar har mer övergripande målformuleringar finns en risk att den detaljerade regleringen får en starkt styrande inverkan på tillsynen, med den konsekvensen att annan mer strategiskt inriktad tillsyn får stå tillbaka. Det finns också en stor risk att organisationer som är utsatta för tillsyn fokuserar arbetet på de delar som granskas mer specifikt och att arbetet att jobba med informationssäkerhet över hela linjen får stå tillbaka.

De uppföljningar som har gjorts inom området informationssäkerhet har bland annat visat att myndigheternas granskning av sitt eget informationssäkerhetsarbete behöver effektiviseras.15 Granskningen kan bedrivas med olika metoder och på olika nivåer. Den kan också behöva kombineras med rapportering av resultatet av genomförda granskningar för att uppnå avsedd effekt. Olika alternativa vägar för att stärka både granskning och rapportering av informationssäkerhetsarbetet bör övervägas.

Utredningen förslog i delbetänkandet att digitaliseringsmyndigheten ska följa upp och analysera utvecklingen av den offentliga sektorns digitalisering och användningen av nationella digitala tjänster baserad på nyckeltal och myndigheters rapportering till regeringen.16På samma sätt bör även informationssäkerhetsarbetet följas upp genom att digitaliseringsmyndigheten tar fram nyckeltal som mäter informationssäkerhetsmognaden i de organisationer som mäts gällande digitaliseringen.

Utredningen bedömer även att alla offentliga myndigheter bör omfattas av en för hela den offentliga förvaltningen gemensam reglering gällande tillsyn av informationssäkerhetsarbetet med tillhörande incidentrapportering. Hur denna tillsyn och incidentrapportering ska utformas ligger utanför denna utrednings område och bör utredas närmare. Utredningen föreslår att regeringen ger MSB, som i dag är ansvarig för att ta emot rapportering från statliga myndigheter, i uppdrag att utreda hur tillsyn och incidentrapportering inom informationssäkerhetsområdet kan genomföras för samtliga offentliga myndigheter.

15 MSB remissvar över SOU 2015:23 Informations- och cybersäkerhet i Sverige, dnr 2015-2930. 16SOU 2017:23, digitalforvaltning.nu.

10. Förvaltningsgemensamma digitala funktioner och elektronisk identifiering

Utredningen bedömer:

att området för elektronisk identifiering är underreglerat, att e-legitimation ska benämnas elektronisk identitetshandling, att regelverk för elektroniska identitetshandlingar är en förvalt-

ningsgemensam digital funktion,

att regelverk som anvisar hur offentliga myndigheter elektro-

niskt ska kontrollera individers identitet är en förvaltningsgemensam digital funktion.

Enligt utredningens direktiv finns det behov av att analysera omfattningen av det offentliga åtagandet i förhållande till de privata aktörernas roll och lämna förslag på vidareutveckling av modellen för elektroniska identitetshandlingar för att långsiktigt tillgodose den offentliga sektorns och användarnas behov samt främja innovation på den privata marknaden. Utredningen ska bland annat lämna förslag på långsiktig utformning processen för grundidentifiering, utfärdande av elektroniska identitetshandlingar och organisering av attribut- och behörighetstjänster som medger att elektroniska identitetshandlingar kan användas i olika roller, särskilt i tjänsten. I följande kapitel (10–15) behandlar utredningen de förutsättningar, bedömningar och förslag som har att göra med elektroniska identitetshandlingar för användning i Sverige.

10.1. Elektronisk identifiering – ett underreglerat område

Elektronisk identifiering är en förutsättning för att offentliga myndigheter ska kunna utveckla e-tjänster och erbjuda individer stöd och service via dessa. Det är vidare en förutsättning för många offentliga arbetsgivare för att deras anställda i sin yrkesroll ska kunna identifiera sig mot interna eller externa system på ett säkert och tillförlitligt sätt. Allt mer av kontakterna mellan individer och offentliga myndigheter liksom privata aktörer inleds via e-tjänster i vilka individen måste identifiera sig. Elektronisk identifiering innefattar: – den elektroniska identitetshandling som individen har, hur den

utformas, vem som utfärdar den liksom hur den kan användas samt – relationer mellan användaren, den som har en e-tjänst och den

som har utfärdat en elektronisk identitetshandling.

Området för elektronisk identifiering omfattar många olika delar, där olika aktörer är inblandade. Det är viktigt att elektronisk identifiering omgärdas av ett legalt och säkerhetsmässigt nät. För att elektronisk identifiering ska fungera måste det också finnas på plats utdelade ansvar för olika uppdrag. En framgångsfaktor är om det är lätt för inblandade aktörer att veta vem som har ett ansvar och vad som ska eller kan göras. Utredningen kommer i följande kapitel att återkomma till den författningsreglering som finns i dag och de pågående initiativen på området samt det förslag som utredningen lämnar. Utredningen kan emellertid redan här konstatera att området för elektronisk identifiering är underreglerat. För att komma fram till vilka delar och således vilket regelverk som skapar en eller flera förvaltningsgemensamma digitala funktioner måste varje del analyseras för sig. Nedan följer i korthet vilka delar som utredningen bedömer vara förvaltningsgemensamma och vars regelverk utgör förvaltningsgemensamma digitala funktioner. Först vill utredningen emellertid uppmärksamma begreppet e-legitimation.

10.2. Elektronisk identitetshandling i stället

för e-legitimation

Den identitetshandling som individer använder för att identifiera sig elektroniskt kallas för e-legitimation. En legitimationshandling är en handling som användaren nyttjar för att legitimera sig. Legitimationshandlingar kallas också identitetshandlingar eller identitetskort. Enligt Svenska akademins ordbok betyder legitimation en handling varigenom något görs lagligt eller behörighet.1 Begreppet innefattar därmed behörighetsstrukturer. En identitet kan vara hur en individ upplever sig själv, men det kan också betyda att två ting egentligen är ett och samma.2

En identitetshandling syftar till att visa en individs identitet och kan användas för att kontrollera att individen är den som han eller hon utger sig för att vara. Identitetskontrollen görs genom att jämföra individen med identitetshandlingen.

Utredningen menar att identitet och behörighet ska skiljas åt. Behörigheter kommer av att uppgifterna om en individ på identitetshandlingen kombineras med ett regelverk, exempelvis att individen får köpa alkoholdrycker3 eller att någon är legitimerad för ett visst yrke, exempelvis läkare.4 För att avgöra om en individ får köpa vin är det mer intressant om individen överensstämmer med regelverket, dvs. är över 20 år gammal, än vem individen är. För att veta om en individ är legitimerad läkare måste uppgifter om individen kopplas samman med uppgifter i registret över legitimerad hälso- och sjukvårdspersonal.

Utfärdare av elektroniska identitetshandlingar vill skilja uppgifter om en individs identitet från uppgifter om dennes behörighet. Detta eftersom behörigheter kan variera snabbt från en dag till en annan, medan identitetsuppgifterna är bestående. Utredningen menar därför att begreppet e-legitimation är missvisande. Begreppet antyder att det är fråga om en samling elektroniska uppgifter som utvisar både identitet och behörighet. Utredningen bedömer att det är lämpligare att fortsättningsvis tala om elektroniska identitetshandlingar, för att inte

1 www.saob.se/artikel/?seek=legitimation&pz=1, 2017-12-21. 2 www.saob.se/artikel/?unik=I_0001-0061.e20x&pz=5, 2017-12-21. 33 kap. 7 § Alkohollagen (2010:1622). 4 Socialstyrelsen ansvarar för ett register över legitimerad hälso- och sjukvårdspersonal (HoSp). Registret innehåller aktuella uppgifter om legitimerad hälso- och sjukvårdspersonal. Uppgifterna kan användas för upplysningar om personals behörighet till apotek, arbetsgivare och allmänhet samt för tillsyn. Uppgifterna används också för statistik.

blanda samman frågor om identitet och behörighet. I det följande kommer utredningen därför att utgå från begreppet elektronisk identitetshandling.

10.3. Elektroniska identitetshandlingar är en förvaltningsgemensam digital funktion

Utredningen menar att identitetshandlingar är en förvaltningsgemensam angelägenhet. Det är viktigt för enskilda individer, offentliga myndigheter och marknadens aktörer att veta vilka identitetshandlingar som går att lita på samt vad de kan användas till. Detta gäller för fysiska såväl som elektroniska identitetshandlingar. Elektroniska identitetshandlingar är en förvaltningsgemensam digital funktion, som bör författningsregleras. Utredningen återkommer med bedömningar och förslag hur en sådan författningsreglering ska se ut.

10.4. Sätt för offentliga myndigheter att elektroniskt kontrollera individers identitet är en förvaltningsgemensam digital funktion

För att individer ska kunna använda sina elektroniska identitetshandlingar hos offentliga myndigheter måste en offentlig myndighet ha etablerat en relation till utfärdaren av den elektroniska identitetshandlingen. Etableringen av relationen mellan utfärdare och offentliga myndigheter med behov av en funktion för elektronisk identifiering är alltså redan författningsreglerad. För offentliga myndigheter etableras denna relation ofta genom upphandling och ibland genom att de beslutar om valfrigetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering. Utredningen bedömer att det finns behov att staten anvisar offentliga myndigheter ett sätt att anskaffa funktionen för elektronisk identifiering. Det är alltså en förvaltningsgemensam angelägenhet att säkerställa att individer kan använda samma elektroniska identitetshandling hos alla offentliga myndigheter. Utredningen menar att ett regelverk som säkerställer detta är en förvaltningsgemensam digital funktion och återkommer till detta i senare kapitel.

11. Processen för grundidentifiering

11.1. Vad betyder grundidentifiering?

Utredningen bedömer:

att grundidentifiering syftar till att koppla ihop en individ med

uppgifter i folkbokföringsregistret och resulterar i en identitetshandling.

Av utredningens direktiv framgår inte vad som menas med processen för grundidentifiering. Utredningen bedömer att det inte heller finns någon enhetlig definition av begreppet. Det används för att beskriva flera olika företeelser, i bland förfarandet när en individ kopplas ihop med registrerade uppgifter om individen för första gången, i bland förfarandet när en individ ansöker om en ny identitetshandling men redan har en befintlig identitetshandling av samma eller annat slag att visa upp, i bland för den allra första registreringen som staten gör av en individ. I det senare fallet kan det t.ex. handla om registreringen av ett nyfött barn i samband med förlossningen eller av en individ som ansöker om asyl i Sverige.

Utredningen kommer inte i det följande att förhålla sig till registre-

ring av uppgifter om en individ, alltså det som görs när en individ folk-

bokförs eller registreras som asylsökande. Utredningen kan emellertid konstatera att det påtalats brister i dessa processer, bl.a. Riksrevisionen har framfört kritik.1

I vissa fall används begreppet grundidentifiering synonymt med

ursprungsidentifiering. Utredningen kommer inte att använda begrep-

pet ursprungsidentifiering. I stället använder utredningen begreppet grundidentifiering, men eftersom det används för så många olika före-

1 Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23.

teelser är det viktigt att beskriva hur utredningen valt att tolka begreppet. Den tolkningen utgör nämligen basen för de förslag som utredningen lämnar.

Grundidentifiering finns inte som ord i Svenska akademins ordbok. Där finns emellertid en beskrivning av ordet identifiera, enligt följande

Uppfatta l. betrakta (ngt) såsom identiskt (med ngt annat), uppfatta l. betrakta (två l. flera ting l. begrepp o. d.) såsom (i grunden) samma sak; ”sätta likhetstecken mellan”, likställa (två l. flera ting)

fastställa (ngns l. ngts) identitet, fastställa vem en given person l. vad en given sak är; igenkänna (ngn l. ngt ss. ngt). Lyckas identifiera en förbry-

tare med hjälp av fingeravtryck.

Givet denna utgångspunkt kan aktörer förhålla sig på olika sätt till begreppet identifiera. En individ kan styrka sin identitet genom att

identifiera sig. Andra, exempelvis en offentlig myndighet eller en

annan privat aktör, kan identifiera någon genom att kontrollera hans eller hennes identitet. Att identifiera sig eller identifiera någon beskrivs sammantaget som identifiering. I begreppet identifiering ligger alltså både det som individen gör och den kontroll som en annan aktör vidtar. Identifiering kan göras i många sammanhang och i relation till aktörer av olika slag.

För att identifieringen ska vara säker och tillförlitlig måste det vara bestämt vilka uppgifter om en individ som ska visas upp eller kontrolleras. I detta led kommer identitetshandlingar in. I dess mest renodlade syfte är tanken med en identitetshandling att den kopplar ihop registrerade uppgifter med fysiska kännetecken (oftast ett fotografi). Denna koppling dokumenteras på ett (plast)kort eller liknande, som kan användas vid identifiering, alltså för att individen ska kunna identifiera sig och för att någon annan ska kunna kontrollera individens identitet. Kontrollen genomförs genom att jämföra uppgifter på identitetshandlingen med den individ som man har framför sig.

Utredningen menar att det förfarande som leder fram till en identitetshandling och som innebär att en individ ska styrka sin identitet är en process som innefattar grundidentifiering.

11.2. Grundidentifiering – ett statligt ansvar

Utredningen bedömer:

att en process för utfärdande av identitetshandling, där grund-

identifiering ingår, ska innefatta följande principer:

  • ansökan om en identitetshandling måste göras vid ett personligt besök hos den utfärdande aktören,
  • individen ska styrka sin identitet på ett tillförlitligt sätt,
  • den utfärdande aktören ansvarar för att dokumentera fysiska kännetecken genom att åtminstone ta ett fotografi av individen,
  • identitetshandlingen lämnas ut vid ett personligt besök hos utfärdaren.

Utredningen föreslår:

att grundidentifiering ska förbehållas den identifiering som staten

utför i samband med utfärdande av de identitetshandlingar som följer principerna för grundidentifiering som utredningen har preciserat.

En tillförlitlig grundidentifiering är en förutsättning för tilliten till elektroniska identitetshandlingar. E-legitimationsnämnden påtalar i sin rapport ”Fortsatt försörjning av tjänster för e-legitimering och eunderskrift” att staten behöver utöka sitt ansvar i samband med identifiering av individer som ansöker om svenska identitetshandlingar. Nämnden påtalar att ett syfte med ett utökat statligt ansvar är dels att underlätta vid nyutgivning av innovativa och säkra elektroniska identitetshandlingar, dels att motverka s.k. id-kapningar och annat missbruk. Vidare framgår att E-legitimationsnämnden har uppfattat att det finns intresse av att staten ska utföra den grundidentifiering av individen som behövs vid nyutgivning av elektroniska identitetshandlingar och att det inte är lämpligt att genomföra detta på distans.2

Utredningen menar att grundidentifiering är ett led i processen att utfärda en identitetshandling. I dag utfärdar såväl statliga som privata aktörer identitetshandlingar. De statligt utfärdade handlingar

2 Fortsatt försörjning av tjänster för e-legitimering och e-underskrift, E-legitimationsnämnden, dnr 131 645711-15/9513, s. 29.

som används som identitetshandlingar är passet, det nationella identitetskortet, identitetskortet för folkbokförda i Sverige och körkortet. Privata aktörer, men också vissa offentliga aktörer, utfärdar identitetskort med s.k. SIS-märkning.3

Utredningen har analyserat några av de befintliga grundidentifieringsprocesserna.4 Av genomgången framgår att processerna skiljer sig åt – olika krav ställs inför utfärdande av olika identitetshandlingar. Detta gäller såväl för de fysiska identitetshandlingar som staten respektive privata aktörer utfärdar som för elektroniska identitetshandlingar.

I nästan alla processer gäller att individen ska styrka sin identitet. Då handlar det om att sammanföra registrerade uppgifter om en viss individ med en viss fysisk person. Med registrerade uppgifter avses framför allt sådana uppgifter som framgår av folkbokföringsregistret. Sättet som individen kan styrka sin identitet på skiljer sig åt. Har individen redan en viss sorts identitetshandling är den ofta tillräcklig för att styrka identiteten. Om individen saknar identitetshandling av visst bestämt slag krävs att andra personer med vissa närmare angivna kopplingar till individen intygar dennes identitet.5

Det som skiljer sig åt mellan de olika identitetshandlingarna är primärt ansöknings- och utlämnandeprocessen. Där ställs i många fall krav på att individen ska inställa sig personligen hos den utfärdande aktören vid såväl ansökan som utlämnande. I vissa fall finns det dock inga sådana krav, exempelvis är det möjligt att hämta ut ett körkort via ett postombud.6 Ytterligare en sak som skiljer sig åt mellan de olika identitetshandlingarna är hur uppgifter om individen dokumenteras, dvs. i vissa fall ansvarar utfärdaren för att fotografera eller ta fingeravtryck av individen, i andra fall kan individen ta med

3 Att ett identitetskort har SIS-märkning innebär att det tillverkas enligt en viss standard av en licensierad tillverkare och utfärdas av en godkänd utfärdare. Vanliga utfärdare är bankerna men det förekommer också att större företag har tillstånd att utfärda sådana identitetshandlingar till sina anställda. 4Passlagen (1978:302), förordningen (2005:661) om nationellt identitetskort, lagen (2015:899) om identitetskort för folkbokförda i Sverige, körkortsförordningen (1998:980), E-legitimationsnämndens tillitsramverk för Svensk e-legitimation, ref.nr: ELN-0700-v1.3. 5 Skatteverkets föreskrifter om identitetskort, SKVFS 2009:14 och Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort, RPSFS 2009:14, FAP 530-1. 68 kap. 3 § körkortsförordningen (1998:980) samt Transportstyrelsens föreskrifter om utlämnande av körkort, TSFS 2014:17.

sig eller skicka in ett fotografi som har tagits av annan men som ofta ska uppfylla vissa kriterier.7

Utredningen bedömer att det inte är alla processer som leder fram till identitetshandlingar som innehåller grundidentifiering. För att en process ska innehålla grundidentifiering bedömer utredningen att vissa styrande principer ska vara uppfyllda. Dessa principer är följande:

  • ansökan om en identitetshandling måste göras vid ett personligt besök hos den utfärdande aktören,
  • individen ska styrka sin identitet på ett tillförlitligt sätt,
  • den utfärdande aktören ansvarar för att dokumentera fysiska kännetecken genom att åtminstone ta ett fotografi av individen, samt
  • identitetshandlingen ska lämnas ut vid ett personligt besök hos utfärdaren.

Utredningen bedömer att det är staten som ska ansvara för grundidentifiering av individer i Sverige. Detta ställningstagande bygger dels på att det redan finns statliga identifieringsprocesser som innefattar grundidentifiering som uppfyller de principer som utredningen bedömer ska gälla, dels på att statliga myndigheter finns tillgängliga över stora delar av landet. Utredningen konstaterar att Polismyndigheten och Skatteverket i dag är de myndigheter som utfärdar identitetshandlingar i enlighet med de principer som utredningen beskrivit ovan. De båda myndigheterna har en god spridning över landet och redan i dag etablerade processer för ansökan och utlämnande, liksom personal som är utbildad för att lösa uppgiften.

Utredningen lämnar inte några förslag på vilka myndigheter som ska ansvara för grundidentifieringen. Detta eftersom 2017 års IDkortsutredning, som ska lämna sitt betänkande senast den 29 mars 2019, har till uppgift att se över vilka identitetshandlingar som ska finnas i Sverige och även vilka myndigheter som ska ansvara för att ge ut dessa identitetshandlingar.8

76 § passlagen (1978:302), 3 § andra stycket förordningen (2005:661) om nationellt identitetskort, 2 § lagen (2015:899) om identitetskort för folkbokförda i Sverige, samt 3 kap. 15 § körkortsförordningen (1998:980) och https://www.swedbank.se/privat/kort-och-betalningar/ id-kort-och-bankid/id-kort/index.htm#!/OID_234910_SV, 2017-12-17. 8 2017 års ID-kortsutredning, Ju 2017:12.

12. Statlig elektronisk identitetshandling

12.1. Vad är en elektronisk identitetshandling?

En elektronisk identitetshandling används av individer för att identifiera sig och av den som ska kontrollera identiteten för att få bekräftat vem som har identifierat sig. Det finns olika sätt att för lagstiftningsändamål beskriva vad en elektronisk identitetshandling är. Man kan förhålla sig till modeller och tekniska specifikationer. Det är en utmaning att undvika att genom en för detaljrik beskrivning skapa inlåsningseffekter där teknisk utveckling försvåras. Den beskrivning av vad en elektronisk identitetshandling är som finns i propositionen Myndigheters tillgång till tjänster för elektronisk identifiering utgår exempelvis från en viss teknisk lösning:

De e-legitimationer som i dag används i den offentliga förvaltningens etjänster består av en privat och en publik krypteringsnyckel med tillhörande elektroniskt certifikat. Den publika nyckeln finns i certifikatet och den privata nyckeln finns hos användaren. En e-legitimation som innehåller ett certifikat gör det också möjligt för användaren att förse uppgifter med en elektronisk motsvarighet till en underskrift, dvs. en elektronisk signatur. Med hjälp av en sådan e-legitimation kan innehavaren alltså både legitimera sig och signera uppgifter elektroniskt i etjänster. En e-legitimation kan i dag utfärdas antingen som en fil som innehavaren kan lagra på hårddisk (mjuk lagring) eller i form av en fysisk bärare (hård lagring), exempelvis ett s.k. smart kort. Det elektroniska certifikatet är en informationsstruktur som innehåller uppgifter som utfärdaren har valt att koppla till e-legitimationen, såsom närmare uppgifter om innehavaren, certifikatets unika nummer, vem som är utfärdare och den publika krypteringsnyckeln. Certifikatet är signerat av den som har utfärdat e-legitimationen.1

1Prop. 2012/13:123, s. 17.

Utredningen anser att det är viktigt att så långt det är möjligt försöka beskriva elektronisk identifiering på ett teknikneutralt sätt.

12.1.1. Vem du är …

En elektronisk identitetshandling består av unika uppgifter om en viss individ.2 Hur dessa unika uppgifter är sammansatta modellmässigt skiljer sig åt, beroende på utfärdare av elektronisk identitetshandling. Utredningen vill här framhålla att beskrivningen endast utgår från uppgifterna om individen.3 En elektronisk identitetshandling kan användas av innehavaren för att på ett säkert sätt identifiera sig gentemot exempelvis e-tjänster. När en individ vill använda sin elektroniska identitetshandling i en viss e-tjänst, måste den som har e-tjänsten ställa en fråga till utfärdaren av den elektroniska identitetshandlingen om individen är den som hon eller han utger sig för att vara. En bekräftelse på att det är just den individen levereras i ett s.k. identitetsintyg.

12.1.2 … inte detsamma som vad du får göra

Det är viktigt att särskilja identitetsuppgifter från vad individen får göra. Identitetsuppgifter är beständiga, medan behörigheter löpande kan ändras. Med andra ord är det viktigt att inte låta det som kallas för behörighets- och åtkomstuppgifter ingå i den elektroniska identitetshandlingen. Sådana uppgifter finns i stället i de tjänster som individen identifierar sig mot och det är den som tillhandahåller tjänsterna som bestämmer vilken behörighet individen har. Genom att särskilja identitetsuppgifter och organisatorisk tillhörighet, roll eller ställning underlättas möjligheter för individer att förflytta sig över organisationsgränser samt att ändra roll och arbetsuppgifter utan att den elektroniska identitetshandlingen för den skull behöver bytas ut.

2 Se K6.4 i Tillitsramverk för Svensk e-legitimation, Ref.nr: ELN-0700-v1.3. Detta krav innebär att fiktiva personnummer eller samordningsnummer inte får förekomma (se Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, version 2014-05-02 dnr 2 00 255001-17/9513, s. 19). 3 Jfr s.k. färdiga elektroniska handlingar i 2 kap. 3 § andra stycket tryckfrihetsförordningen samt resonemang i prop. 2001/02:70, s. 22, Offentlighetsprincipen och informationstekniken och SOU 2010:4, allmänna handlingar i elektronisk form, s. 33, SOU 2010:4, allmänna handlingar i elektronisk form, s. 33.

Utredningen återkommer till detta i kapitlet Arbetstagare, student, ställföreträdare – och elektronisk identifiering.

12.2. Begreppet elektronisk identitetshandling

Utredningen bedömer:

att det är missvisande att beskriva elektroniska identitetshand-

lingar på olika tillitsnivåer med ett och samma begrepp.

Utredningen föreslår:

att regeringen ger digitaliseringsmyndigheten i uppdrag att arbeta

fram olika begrepp för att beskriva elektroniska identitetshandlingar på olika tillitsnivåer.

E-legitimationsnämnden har tagit fram ett tillitsramverk4 som bygger på internationell standard och andra internationella ramverk. Det svenska tillitsramverket som togs fram innan EU:s tillitsramverk inom ramen för eIDAS-förordningen med följd att det svenska tillitsramverket har en något högre högsta tillitsnivå än eIDAS-förordningen.5

Vissa regler i tillitsramverket skiljer sig åt, beroende på vilken tillitsnivå en viss elektronisk identitetshandling (i tillitsramverket benämnd e-legitimation) har. Alla elektroniska identitetshandlingar utfärdas efter ansökan. För alla elektroniska tillitsnivåer ska också en utfärdare kontrollera att uppgifterna i ansökan om sökanden är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register.6 Med officiellt register avses bl.a. SPAR.7

I tillitsramverket finns regler som tar sikte på hur en individ, som ansöker om en elektronisk identitetshandling, ska identifieras och hur en elektronisk identitetshandling ska lämnas ut till individen. Huvudregeln är att detta ska göras vid personliga besök. För vissa

4 Tillitsramverk för Svensk e-legitimation, Ref.nr: ELN-0700-v1.3. 5 Fortsatt försörjning av tjänster för e-legitimering och e-underskrift, E-legitimationsnämnden, dnr: 131 645711-15/9513, 2016-10-25, s. 23. 6 Se punkten K5.8 i E-legitimationsnämndens tillitsramverk. 7 Lagen (1998:527) om det statliga personadressregistret och Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation.

tillitsnivåer är det möjligt att både ansöka om och få en elektronisk identitetshandling utlämnad till sig på distans.8

Det finns alltså ingen enhetlig process för utfärdande av elektroniska identitetshandlingar. Det leder till att begreppet elektronisk identitetshandling har karaktären av ett samlingsnamn för alla tillitsnivåer, trots att det ställs olika krav på en identitetshandling beroende på tillitsnivå. Utredningen bedömer att det är missvisande att beskriva elektroniska identitetshandlingar på olika tillitsnivåer med ett och samma begrepp. Därtill kommer också den bedömning som utredningen gör i följande avsnitt, som innebär att elektroniska identitetshandlingar på åtminstone tillitsnivå 3 och 4 utgör elektroniska urkunder. Elektroniska identitetshandlingar på dessa tillitsnivåer bör således skiljas ut begreppsmässigt. En tanke kan vara att reservera begreppet elektronisk identitetshandling för tillitsnivå 3 och 4, medan det på lägre tillitsnivåer kan användas ett annat begrepp. Utredningen föreslår därför att digitaliseringsmyndigheten arbetar fram andra begrepp för att beskriva elektroniska identitetshandlingar på olika tillitsnivåer.

12.3. Elektronisk identitetshandling är en värdehandling

Av 2 kap. 3 § tryckfrihetsförordningen9 följer att med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingsbegreppet omfattar alltså s.k. konventionella handlingar (framställning i skrift eller bild) och elektroniska handlingar (upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel). Elektroniska handlingar kan vara sammanställningar (potentiella handlingar) eller s.k. färdiga elektroniska handlingar.10 Med en färdig elektronisk handling menas en sådan elektronisk handling som utställaren har gett ett bestämt, fixerat innehåll som går att återskapa gång på gång.

Utredningen menar att elektroniska identitetshandlingar, givet vissa förutsättningar, kan vara elektroniska urkunder. I brottsbalken

8 Se punkterna K5.10–K5.12i E-legitimationsnämndens tillitsramverk. 9Tryckfrihetsförordningen (1949:105). 10 Se mer om färdiga elektroniska handlingar i prop. 2001/02:70, s. 22, Offentlighetsprincipen och informationstekniken och SOU 2010:4, Allmänna handlingar i elektronisk form, s. 33.

beskrivs en elektronisk urkund som en handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse och originalkaraktär.11

En utställarangivelse ska enligt propositionen ha en inte obetydlig grad av säkerhet. Utställarangivelser i ordbehandlingsprogram och namn eller adressangivelser i ordinära e-postmeddelanden bedöms inte typiskt sett förtjäna tilltro. Vanlig e-post är således inte urkunder. Om en datafil lagrad på ett medium inte med säkerhet kan knytas till en utställare saknar den originalkaraktär och därmed urkundskvalitet.12

En elektronisk identitetshandling är avsedd att användas för att peka ut en viss individ med hög grad av säkerhet. Utredningen bedömer att åtminstone elektroniska identitetshandlingar på tillitsnivå 3 och 4 är att betrakta som elektroniska urkunder. Därmed är de också värdehandlingar, som användaren bör hantera med samma försiktighet som deras fysiska motsvarigheter. Av brottsbalken följer vidare att den som obehörigen, genom att skriva eller på liknande sätt ange en annan persons namn eller på annat sätt, framställer en falsk urkund eller ändrar eller fyller ut en äkta urkund döms, om åtgärden innebär fara i bevishänseende, för urkundsförfalskning.13

12.4. Identifiering med en elektronisk identitetshandling

En fysisk eller mobil bärare av en elektronisk identitetshandling kan vara ett s.k. smartkort som kan lagra elektronisk information i ett chip på kortet.14 En mobil bärare är exempelvis en smarttelefon, surfplatta eller dator. Då finns den elektroniska identitetshandlingen som en fil på en dator eller en applikation i mobiltelefonen.

11 14 kap. 1 § brottsbalken (1962:700).12 Kommentar till 14 kap. 3 § brottsbalken, Zeteo, 2017-12-13. 13 Jfr Högsta domstolens dom den 22 december 2017 i mål T435-17, som rörde bevisbördan i tvistemål för invändning om att en elektronisk underskrift använts obehörigen av annan än innehavaren. Tvisten gällde en elektronisk låneförbindelse. Högsta domstolen bedömde att det var långivaren som måste visa att det är den påstådda elektroniska underskriften som har använts och att, om så sker innehavaren måste göra antagligt att användningen av underskriften skett obehörigen. 14 Ett smartkort definieras som ett kort i fickstorlek med inbyggda kretsar som kan processa information. Detta anger att det kan ta emot indata som bearbetas och levereras som utdata. https://sv.wikipedia.org/wiki/Smartkort, 2017-12-13.

12.5. Utformning av elektroniska identitetshandlingar på olika tillitsnivåer

En elektronisk identitetshandling består, som beskrivits, av uppgifter som entydigt kan kopplas till en fysisk person. Uppgifterna ska kunna användas av individen för att identifiera sig och av den förlitande aktören för att kontrollera individens identitet. Individ och användare används i dessa sammanhang som synonyma begrepp.

Autentisering är en elektronisk process som gör det möjligt att

bekräfta den elektroniska identifieringen för fysisk eller juridisk person, eller ursprunget för och integriteten hos uppgifter i elektronisk form.15 Det finns tre huvudsakliga faktorer som man använder för att individers elektroniska identitetshandlingar ska vara säkra; någonting man vet (i praktiken koder), någonting man är (biometriska uppgifter) och någonting man har (t.ex. en dator, koddosa, mobiltelefon eller aktivt kort).16 Ju fler av dessa som kombineras, desto större kontroll över den elektroniska identitetshandlingen kan individen ha. Aktiveringsmekanismen och personlig kod ska utformas så att det är osannolikt att en utomstående kan forcera skyddet, ens på maskinell väg.17 Det innebär att komplexitetskraven på den personliga koden måste utformas så att resurserna som krävs för att röja den står i proportion till den elektroniska identitetshandlingens övriga säkerhetsegenskaper, innebärande att denna del inte ska vara en svagare länk än någon annan i del i kedjan av säkerhetskontroller.18

Det tillitsramverk som E-legitimationsnämnden har tagit fram beskriver tillitsnivå 2, 3 och 4. Utredningen återkommer i det följande

15 Artikel 3, punkten 5 Europaparlamentets och Rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, eIDAS-förordningen. 16 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 17. 17 Se K6.2 i E-legitimationsnämndens tillitsramverk. 18 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 18. Därav framgår vidare att detta kan åstadkommas på olika sätt, t.ex.: I de fall en personlig säkerhetsmodul används, att denna blockeras efter ett visst antal felaktiga aktiveringsförsök, där antalet står i proportion till aktiveringskodens komplexitet. I de fall andra tvåfaktorslösningar än personlig säkerhetsmodul används: (i) Att aktiveringen av den elektroniska identitetshandlingen tar stor maskinkapacitet i anspråk, dvs. att processen att tillgängliggöra nyckelmaterialet går till så att ett stort antal handlingar krävs för att pröva om rätt kod angivits, och att det därmed (i normalfallet) tar orimligt lång tid att genomföra en uttömmande sökning efter rätt kod. (ii) Att den personliga kodens komplexitet i termer av längd samt kombination av versaler, gemener, siffror och specialtecken medför att uttömmande sökning blir mycket omfattande resursmässigt att genomföra. (iii) Att en del i aktiveringsförfarandet görs direkt mot utfärdaren och att denne därmed kan spärra den elektroniska identiteten efter ett visst antal felaktiga försök.

till dessa tillitsnivåer. Tillitsnivå 1 kan vara ett konto som någon registrerar själv på internet, utan att styrka sin identitet. Den tillitsnivån omfattas alltså inte av E-legitimationsnämndens tillitsramverk.

12.5.1. Tillitsnivå 2

Elektroniska identitetshandlingar på tillitsnivå 2 ska enligt E-legitimationsnämndens tillitsramverk utformas så att användaren har en eller flera personliga koder som han eller hon sedan kan använda för att styrka sin identitet.19 Med koder avses lösenord, lösenfraser, sifferkombinationer eller annan informationsmängd som inte är knuten till en särskild utrustning eller programvara.20 Detta är alltså någonting man vet.

12.5.2. Tillitsnivå 3

Elektroniska identitetshandlingar på tillitsnivå 3 ska enligt E-legitimationsnämndens tillitsramverk utformas enligt en sådan tvåfaktorsprincip som består dels av elektroniskt lagrad information som användaren ska inneha, dels av något som användaren ska bruka för att aktivera den elektroniska identitetshandlingen.21 En elektronisk identitetshandling på tillitsnivå 3 kan finnas på en fysisk eller en mobil bärare.

12.5.3. Tillitsnivå 4

Elektroniska identitetshandlingar på tillitsnivå 4 ska enligt E-legitimationsnämndens tillitsramverk utformas enligt en sådan tvåfaktorsprincip som består dels av en personlig säkerhetsmodul som användaren ska inneha, dels av det som användaren ska bruka för att aktivera säkerhetsmodulen.22 En elektronisk identitetshandling på tillitsnivå 4 måste finnas på en fysisk bärare, alltså ett exempelvis ett s.k. smartkort.

19 Se K6.1 i E-legitimationsnämndens tillitsramverk. 20 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 17. 21 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 17. 22 Se K6.1 i E-legitimationsnämndens tillitsramverk.

12.5.4. Gemensamt för tillitsnivå 3 och 4

I de fall tvåfaktorsautentisering krävs (nivå 3 och 4) bör koder kombineras med innehav (fysisk kontroll) av en lagrad datastruktur. Av den anledningen är personliga koder den huvudregel som bör tillämpas, men andra lösningar kan godtas då säkerheten i övrigt upprätthålls genom andra kompletterande kontroller.23 Utöver dessa krav finns det också krav i tillitsramverket på att det ska finnas möjlighet för användaren att på eget initiativ kunna byta eller begära ny personlig kod.

12.6. Processer för utfärdande av elektroniska identitetshandlingar

Av E-legitimationsnämndens tillitsramverk följer att processerna för utfärdande av elektroniska identitetshandlingar skiljer sig åt, beroende på vilken tillitsnivå en elektronisk identitetshandling har. Tillitsramverket beskriver olika processer för såväl identitetskontrollen av en individ som ansöker om en elektronisk identitetshandling, som för utlämnande av den elektroniska identitetshandlingen till individen.

En elektronisk identitetshandling utfärdas enligt tillitsramverket efter ansökan från en individ. Individen kallas då sökande.

12.6.1. Identifiering

Utgångspunkten är att utfärdare ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid utgivning av en fullgod identitetshandling. Med detta avses att identitetskontrollen följer en dokumenterad process och utförs av särskilt utbildad personal i utfärdarens organisation. Det förväntas också att identitetskontrollen i samband med utfärdande av den elektroniska identitetshandlingen grundas i att individen har en fullgod identitetshandling med vilken hon eller han kan styrka sin identitet.24

23 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 18. 24 Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 14.

För elektroniska identitetshandlingar på tillitsnivå 2 och 3 är det emellertid möjligt att kontrollera en individs identitet på distans enligt de närmare bestämmelserna i tillitsramverket.25

12.6.2. Utlämnande

Även förfarandet vid utlämnande av en elektronisk identitetshandling skiljer sig åt beroende på tillitsnivå. Liksom vid identifiering vid ansökan om en elektronisk identitetshandling medger tillitsramverket att elektroniska identitetshandlingar på tillitsnivå 2 och 3 kan lämnas ut på distans under vissa förutsättningar. Identitetshandlingar på tillitsnivå 4 kan inte lämnas ut på distans.26

Utlämnandet av en elektronisk identitetshandling är en särskilt kritisk fas i utfärdandeprocessen. Det kan finnas risker att den som ska lämna ut en elektronisk identitetshandling utsätts för otillbörliga påtryckningar, liksom att det inte genomförs en tillräckligt säker identitetskontroll i samband med utlämnandet av en elektronisk identitetshandling till en individ.27

12.7. En statlig elektronisk identitetshandling

Utredningen föreslår:

att staten utfärdar en elektronisk identitetshandling att staten skapar en säker grundidentifieringsprocess som kan

användas av andra aktörer.

Många individer i Sverige har redan en eller flera elektroniska identitetshandlingar. Befolkningen är, som grupp betraktad, van att identifiera sig elektroniskt.

På den svenska marknaden för elektroniska identitetshandlingar finns en dominant marknadsaktör; BankID. Det finns uppgifter om

25 Se K5.11 i E-legitimationsnämndens tillitsramverk. För att kunna ge ut en elektronisk identitetshandling på tillitsnivå 3 på distans, krävs att utfärdaren själv står en betydande rättslig eller ekonomisk risk kopplad till distansrelationen. Detta innebär i normalfallet att utfärdaren tillhandahåller en e-tjänst gentemot sökanden, där konsekvenserna för utfärdaren vid en felaktig identifiering kan komma att leda till betydande skador. 26 Se K.6.6 i E-legitimationsnämndens tillitsramverk. 27 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 20 ff.

att cirka 7,5 miljoner personer har BankID och att antalet användningstillfällen med BankID uppskattas till 2,5 miljarder under 2017. När det gäller den offentliga sektorns del i den totala användningen kan dock konstateras att den är 7,1 procent, varav kommuner och landsting står för 1,9 procent och statliga myndigheter för 5,2 procent.28 Utredningen anser att det är på grund av BankID som den svenska befolkningen har en utbredd vana att identifiera sig elektroniskt och att svenska e-tjänster är förhållandevis välutvecklade.

Trots den goda vanan hos befolkningen att identifiera sig elektroniskt finns det utmaningar på den svenska marknaden för elektroniska identitetshandlingar.

En utmaning är att en aktör har en så stor marknadsandel (jfr statistiken från BankID ovan). Det leder till att andra aktörer har svårare att ta marknadsandelar.

En annan utmaning är grundidentifieringen. För att elektroniska identitetshandlingar ska vara tillförlitliga måste aktörer på marknaden vara säkra på att en elektronisk identitetshandling pekar på rätt individ. En kritisk fas i utfärdandet av elektroniska identitetshandlingar är grundidentifieringen, dvs. den identifiering som görs när en individ ska styrka sin identitet för utfärdande av en identitetshandling. En annan kritisk fas är i samband med utlämnandet, dvs. när en individ hämtar ut sin elektroniska identitetshandling.29 Det är viktigt att dessa kritiska faser hålls samman av en ansvarig aktör, för att minska risken för att en individ får ut en identitetshandling med uppgifter om en annan person än honom eller henne själv. Krav i tillitsramverket på fysisk identitetskontroll medför att utfärdare måste finnas tillgängliga på många ställen i landet och ha personal som kan utföra en identitetskontroll på ett tillförlitligt sätt.30

Ytterligare en aspekt är att det ur ett beredskaps- och kontinuitetsperspektiv finns behov av riskspridning genom att etablera ett komplement till det i dag dominerande systemet med bankutgivna elektroniska identitetshandlingar.

Det är också önskvärt att ha en elektronisk basidentitet som individen kan vara säker på kan användas för att identitetsväxla. Det innebär att individen kan använda en elektronisk identitetshandling

28 https://www.bankid.com/assets/bankid/stats/2017/statistik-2017-10.pdf. 29 Vägledning för uppfyllande av tillitsramverkets krav för Svensk e-legitimation, s. 20. 30 Framtida spelplan för e-legitimering, förstudierapport på uppdrag av E-legitimationsnämnden, version 1, 2017-02-23 s. 14.

på tillitsnivå 3 och 4 som underlag vid ansökan om en annan elektronisk identitetshandling på tillitsnivå 3 eller lägre. Det är dessutom önskvärt att veta att det ska finnas minst en svensk elektronisk identitetshandling som kan anmälas för användning för gränsöverskridande identifiering enligt eIDAS-förordningen31 och det är inte givet att bankerna kommer att vilja anmäla BankID eller Mobilt BankID för detta ändamål.

Utredningen menar att det är ett statligt ansvar att grundidentifiera individer och utfärda fysiska identitetshandlingar. Det är viktigt att hålla samman grundidentifieringen med utfärdandet av en elektronisk identitetshandling. Mot den bakgrunden bedömer utredningen att staten ska utfärda en elektronisk identitetshandling. En sådan statlig elektronisk identitetshandling ska ses som ett grundläggande underlag som kan användas antingen för identifiering i e-tjänster, eller – och mest troligt – som underlag för att kunna ansöka om andra elektroniska identitetshandlingar. Syftet med en statlig elektronisk identitetshandling är alltså att skapa förutsättningar för andra aktörer att utnyttja de resurser och den kompetens som staten har när det gäller att kontrollera individers identitet. Syftet är vidare att garntantera att Sverige kan anmäla en elektronisk identitetshandling för användning i Europa enligt eIDAS-förordningen.

Krav på den statliga elektroniska identitetshandlingen

Utredningen bedömer att de krav som ska ställas på en statlig elektronisk identitetshandling är följande.

  • En statlig elektronisk identitetshandling ska vara en säker och tillförlitlig elektronisk identitetshandling på den högsta tillgängliga tillitsnivån.
  • En statlig elektronisk identitetshandling ska vara en stabil lösning, som inte är beroende av att individer själva har vare sig dator, kortläsare eller mobiltelefon.
  • En statlig elektronisk identitetshandling ska kunna användas hos alla offentliga myndigheter, men tanken är inte att en statlig

31 Se vidare avsnitt 18.2.

elektronisk identitetshandling ska vara den enda elektroniska identitetshandlingen som individer har.

  • En statlig elektronisk identitetshandling ska finnas på en fysisk bärare.
  • En statlig elektronisk identitetshandling ska kunna användas som en back-up-lösning för individer om deras andra elektroniska identitetshandlingar fallerar.

12.7.1. Särskild grundidentifiering eller utnyttja befintlig?

Utredningen bedömer:

att det är lämpligt att utnyttja befintliga grundidentifieringar i sta-

ten för att utfärda en elektronisk identitetshandling.

Utredningen konstaterar:

att frågan om vilken eller vilka fysiska identitetshandlingar som

ska bära den statliga elektroniska identitetshandlingen hanteras av 2017 års ID-kortsutredning.

Utredningen bedömer att det ska vara ett offentligt åtagande att grundidentifiera individer och utfärda en elektronisk identitetshandling. För att åstadkomma detta finns det enligt utredningen i huvudsak två olika tillvägagångssätt. Det ena är att etablera en särskild grundidentifiering i staten som resulterar i en elektronisk identitetshandling, som fästs på en nyetablerad fysisk bärare. För denna nya grundidentifiering skulle någon statlig myndighet ansvara. Det andra är att utnyttja befintliga statliga grundidentifieringar.

När det gäller det första alternativet bedömer utredningen att det inte är aktuellt. Att etablera en helt ny process för att utfärda en elektronisk identitetshandling, med tillkommande ansvar för en myndighet och dessutom att få tillräcklig spridning på den elektroniska identitetshandlingen hos befolkningen, är vare sig lämpligt eller ett effektivt sätt att hantera de offentliga resurserna.

Utredningen anser i stället att befintliga statliga grundidentifieringar ska utnyttjas. Det medför att de fysiska identitetshandlingar som staten utfärdar bör vara bärare av den statliga elektroniska identitetshandlingen.

De befintliga statliga processer som innefattar grundidentifiering och som utredningen bedömer lämpliga, utifrån de principer som utredningen bedömer ska gälla och det nuvarande regelverket, är de som gäller för passet, det nationella identitetskortet och identitetskortet för folkbokförda i Sverige.32

I augusti 2017 tillsattes 2017 års ID-kortsutredning, med uppdrag att utreda och lämna förslag till förändringar av de krav och rutiner som gäller för svenska identitetshandlingar. Av direktiven framgår att den utredningen ska föreslå hur antalet identitetshandlingar och utfärdare ska begränsas, analysera och föreslå hur verifieringen av äktheten och giltigheten av identitetshandlingar kan förbättras, utreda och vid behov föreslå hur identitetshandlingar bör utfärdas och utformas för att bli säkrare samt analysera och ta ställning till om fysiska identitetshandlingar bör innehålla en e-legitimation på högsta tillitsnivå.

Utredningen har samrått med 2017 års ID-kortsutredning. Med anledning av 2017 års ID-kortsutrednings uppdrag avstår utredningen från att lämna förslag på vilken myndighet som ska utfärda statliga elektroniska identitetshandlingar, eller vilken alternativt vilka fysiska bärare som sådana elektroniska identitetshandlingar ska finnas på.

12.7.2. Den statliga elektroniska identitetshandlingen ska vara på den högsta tillitsnivån

Utredningen bedömer:

att staten inte ska utfärda mobila elektroniska identitetshandlingar.

Utredningen föreslår:

att statliga elektroniska identitetshandlingar ska vara på den högsta

tillitsnivån, i dag tillitsnivå 4.

32Passlagen (1978:302) med tillhörande passförordningen (1979:664), förordningen (2005:661) om nationellt identitetskort och lagen (2015:899) om identitetskort för folkbokförda i Sverige med tillhörande förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

Tillitsnivån förutsätter fysisk bärare

Tillitsnivå 4 förutsätter i dag att den elektroniska identitetshandlingen finns på en fysisk bärare, exempelvis ett smartkort. Utredningen anser att någon eller några av de befintliga utfärdandeprocesser som innefattar grundidentifiering ska utnyttjas för att utfärda en elektronisk identitetshandling. Ur dessa processer kommer fysiska identitetshandlingar som kan, eller bör kunna, bära en elektronisk identitetshandling.

Utredningen lämnar inte förslag på en mobil statlig elektronisk identitetshandling

Utredningen har tidigare beskrivit att en elektronisk identitetshandling kan finnas som en fil på en dator eller en applikation i mobiltelefonen. Bland de som i dag använder sig av BankID, är det 90,9 procent som har mobilt BankID. Antalet utfärdade mobila BankID var i september 2017 nästan 6,5 miljoner, jämfört med i januari 2015 när det var drygt 3 miljoner.33 De mobila lösningarna för elektroniska identitetshandlingar är alltså tilltalande för många. De erbjuder möjligheter att sköta sina ärenden gentemot banker, statliga myndigheter och andra aktörer var som helst.

Genom en mobil lösning för den statliga elektroniska identitetshandlingen skulle användandet givetvis underlättas. Utredningen bedömer emellertid den statliga elektroniska identitetshandlingen ska vara ett komplement och inte konkurrent till redan existerande eller kommande mobila plattformar. Det bästa sättet att stödja innovation är att lämna öppet för olika aktörer att presentera sina lösningar och låta brukarnas val avgöra. Ur ett nationellt säkerhetspektiv är det viktigt att undvika starka beroenden av enskilda aktörer och tekniska lösningar. Mobilitetstrenden i Sverige är stark34 och många invånare i Sverige har en smart mobil, surfplatta och/eller dator. Här finns det utrymme för fler aktörer.

33 Statistik från BankID, oktober 2017. https://www.bankid.com/om-oss/statistik 34 Internetstiftelsen i Sverige (IIS) har konstaterat att 85 procent av befolkningen har tillgång till en smart mobil, vilket är en ökning i förhållande till år 2016 då 81 procent hade tillgång

till en smart mobil. Vidare har 93 procent tillgång till en dator hemma,

IIS rapport Sven-

skarna och internet 2017 – undersökning om svenskarnas internetvanor, s. 10.

12.7.3. Ska ansvariga statliga myndigheter själva utveckla den elektroniska identitetshandlingen?

Utredningen föreslår:

att de statliga myndigheter som ges i uppdrag att tillhandahålla en

statlig elektronisk identitetshandling också ges i uppdrag att samverka i genomförandet av detta uppdrag.

att den statliga elektroniska identitetshandlingen ska vara statlig

egendom och att ansvariga statliga myndigheter ska kunna bestämma över dess användning, oavsett om de tillhandahåller den själva eller upphandlar den.

Polismyndigheten ansvarar för att utfärda pass och nationella identitetskort. Skatteverket ansvarar för att utfärda identitetskort för folkbokförda. Varken Polismyndigheten eller Skatteverket tillverkar de bärare av identitetshandlingarna som passet, det nationella identitetskortet eller identitetskortet för folkbokförda finns på. Dessa bärare upphandlas av respektive myndighet.

På Skatteverkets identitetskort för folkbokförda finns en elektronisk identitetshandling. I dag utfärdas den av AB Svenska Pass och tidigare av Telia. Den elektroniska identitetshandlingen är upphandlad av Skatteverket, men utfärdas av AB Svenska Pass i eget namn.

Utredningen lämnar inte förslag på vilka statliga myndigheter som ska utfärda en elektronisk identitetshandling. Oavsett vilken myndighet det blir bedömer utredningen att de statliga myndigheter som ges i uppdrag att ta fram en statlig elektronisk identitetshandling måste samverka om hur den utformas. Det kan finnas olika leverantörer av fysiska identitetshandlingar, men knappast mer än en leverantör av den statliga elektroniska identitetshandlingen. Det är viktigt att den statliga elektroniska identitetshandlingen ges ut under ett enhetligt namn. Dessutom menar utredningen att det är de ansvariga myndigheterna som, oavsett leverantör av den elektroniska identitetshandlingen, måste kunna bestämma över hur den elektroniska identitetshandlingen får användas. Utredningen lämnar också förslag om att den statliga elektroniska identitetshandlingen ska följa det tillitsramverk och de tekniska specifikationer som digitaliseringsmyndigheten tar fram enligt förslaget till lag om infrastruktur och kvalitetsmärket Svensk elektronisk identitetshandling. Se mer om det nedan.

12.7.4. Den statliga elektroniska identitetshandlingen – en del av en fysisk identitetshandling eller en egen handling?

Utredningen föreslår:

att den statliga elektroniska identitetshandlingen ska särregleras

i förhållande till de författningar som reglerar dess fysiska bärare.

Den statliga elektroniska identitetshandlingen ska utformas på ett sätt så att den blir en elektronisk urkund. Den ska därmed vara en egen handling, som använder en fysisk identitetshandling som bärare. Den elektroniska identitetshandlingen kräver emellertid tekniska hjälpmedel för att kunna användas för identifiering. Den går inte att uppfatta okulärt. Det finns därför enligt utredningens bedömning goda skäl att särreglera den statliga elektroniska identitetshandlingen, och inte låta den ingå som en delmängd i informationen på fysiska identitetshandlingar.

Utredningen bedömer att den statliga elektroniska identitetshandlingen måste omgärdas av en egen författningsreglering Detta för att veta vilka uppgifter om en individ som samlas in i grundidentifieringsprocessen i syfte att ingå i respektive identitetshandling.

12.7.5. Den statliga elektroniska identitetshandlingen och eIDAS-förordningen

Utredningen föreslår:

att den statliga elektroniska identitetshandlingen ska anmälas för

gränsöverskridande identifiering (användning inom Europa) enligt eIDAS-förordningen.

Den statliga elektroniska identitetshandlingen som utredningen föreslår bör vara rustad för användningsområden som kommer att utvecklas inom den närmsta framtiden. Genom eIDAS-förordningen kommer individer att kunna kommunicera med myndigheter i andra medlemsstater på ett enklare sätt än vad som hittills varit möjligt. Det ligger i svenska medborgares intresse att denna möjlighet realiseras. Utredningen återkommer till vilka användningsområden som

är tänkbara. Situationen kan jämföras med att staten utfärdar pass till svenskar som vill resa utomlands.

För att säkerställa att det ska finnas tillgång till åtminstone en sådan elektronisk identitetshandling anser utredningen att det offentliga åtagandet när det gäller den statliga elektroniska identitetshandlingen ska omfatta att den ska kunna användas för gränsöverskridande identifiering.

Det finns även säkerhetsskäl för att Sverige bör anmäla en statligt utfärdad elektronisk identitetshandling för gränsöverskridande identifiering. Mer om detta i kapitel 18.

12.8. Lag om statlig elektronisk identitetshandling

Utredningen föreslår:

att det införs en lag om statlig elektronisk identitetshandling. att målgruppen för den statliga elektroniska identitetshand-

lingen ska vara svenska medborgare och de som är folkbokförda i Sverige.

Förslaget genomförs genom lagen om statlig elektronisk identitetshandling.

Utredningen föreslår en lag om statlig elektronisk identitetshandling. Utöver att reglera vad en statlig elektronisk identitetshandling är, samt hur den får användas, föreslår utredningen bl.a. att alla offentliga myndigheter som kräver att individer ska identifiera sig elektroniskt ska godkänna identifiering med den statliga elektroniska identitetshandlingen.

Målgruppen för en statlig elektronisk identitetshandling kan delas in på olika sätt. Indelning kan göras utifrån individers behov. Då framförs oftast att individer behöver en elektronisk identitetshandling för sina privata ärenden och en annan som de använder i tjänsten. En annan indelning, som delvis överlappar, är vem individen är i relation till något annat objekt, exempelvis relationen individen har i förhållande till staten, en annan individ eller en organisation. En tredje indelning är vad individen har rätt att göra, exempelvis framföra ett fordon eller utöva en viss yrkesroll.

Utredningen föreslår att målgruppen för en statlig elektronisk identitetshandling ska vara densamma som målgruppen för de fysiska

identitetshandlingar som staten utfärdar, och vars primärsyfte inte är att utvisa en viss behörighet. Utredningen bedömer att det bör krävas att en individ har en viss form av anknytning till det svenska samhället för att få en statlig elektronisk identitetshandling. För de fysiska identitetshandlingarna bedömde 2007 års id-kortsutredning att personer som saknar personnummer inte har en sådan anknytning och därför inte skulle vara föremål för en statligt utfärdad fysisk identitetshandling.35 Utredningen instämmer i den bedömningen. Det innebär att målgruppen för den statliga elektroniska identitetshandlingen bör vara de som är svenska medborgare och de som är folkbokförda i Sverige. Utanför den målgruppen faller således exempelvis arbetstagare, skolelever och individer med vissa behörigheter. Utredningen beskriver mer om dessa målgrupper i kapitel 15. Utredningens förslag om målgrupp för den statliga elektroniska identitetshandlingen omfattar inte heller de som har ett samordningsnummer eller är asylsökande. Det finns emellertid ingenting som hindrar att andra utfärdare av elektroniska identitetshandlingar tar fram lösningar också för individer i den målgruppen.

12.8.1. Personidentitetsuppgifter i den statliga elektroniska identitetshandlingen

Utredningen föreslår:

att det i lagen regleras vilka personidentitetsuppgifter som ska

finnas i en statlig elektronisk identitetshandling.

I de författningar som reglerar passet, det nationella identitetskortet och identitetskortet för folkbokförda i Sverige saknas bestämmelser som anger vilka uppgifter om en person som ska finnas i respektive identitetshandling.36 Det som regleras är i stället att sökanden (individen) ska styrka sin identitet och – när det gäller passet och det nationella identitetskortet – sitt svenska medborgarskap. Sedan finns det regler för hur detta ska gå till. Vilka uppgifter om en individ som

35SOU 2007:100, Id-kort för folkbokförda i Sverige, s. 78 ff. 36Passlagen (1978:302) med tillhörande passförordningen (1979:664), förordningen (2005:661) om nationellt identitetskort och lagen (2015:899) om identitetskort för folkbokförda i Sverige med tillhörande förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

ska ingå i respektive identitetshandling framgår bl.a. av internationella regelverk och standarder på området.

Utredningen anser att det är viktigt att beskriva vilka personidentitetsuppgifter som den statliga elektroniska identitetshandlingen ska innehålla. Utredningen föreslår att den statliga elektroniska identitetshandlingen ska finnas på en fysisk bärare, som är en fysisk identitetshandling. Det innebär att grundidentifieringen är densamma för den fysiska och den elektroniska identitetshandlingen. Utredningen anser att det då är viktigt att veta vilka uppgifter om en individ som får behandlas i respektive identitetshandling. Därför bedömer utredningen att det bör regleras i lag vilka uppgifter om en individ som ska ingå i den elektroniska identitetshandlingen. Utredningen bedömer att de i lagen angivna uppgifterna är minimum och att regeringen eller den myndighet som regeringen bestämmer får besluta om att andra uppgifter också får ingå. Sådana andra uppgifter beskrivs som attribut.

Den identitetsbeteckning som huvudsakligen används för individer i Sverige i dag är personnummer. Personnumret innehåller födelsetid, födelsenummer och kontrollsiffra. För att få ett personnummer måste man vara folkbokförd i Sverige och för att bli folkbokförd måste man vara antingen svensk medborgare eller ha uppehållsrätt eller uppehållstillstånd här.37 Utöver personnumret är ofta förnamn och efternamn viktigt för att veta vem en person är.

I en genomförandeförordning till eIDAS-förordningen38 listas en minimiuppsättning av personidentitetsuppgifter för fysiska personer som ska finnas i en elektronisk identitetshandling som ska användas vid gränsöverskridande identifiering. Sådana uppgifter är nuvarande efternamn, nuvarande förnamn, födelsedatum och en unik identitetsbeteckning som satts samman av den utsändande staten enligt regelverk och som är mest beständig över tid. En minimiuppsättning för en fysisk person kan dessutom innehålla ett eller flera av följande valfria attribut: förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön. En närmare beskrivning av detta finns i avsnitt 18.4.

371818 a §§folkbokföringslagen (1991:481). 38 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

I sammanhanget vill utredningen uppmärksamma frågan om det ska ingå biometriska uppgifter i den elektroniska identitetshandlingen. Biometriska uppgifter om en individ, kan vara fingeravtryck eller digitala fotografier ur vilka biometrisk data kan uttolkas. Sådana uppgifter skapar förutsättningar för säkrare fysiska och elektroniska identitetshandlingar. I svenska pass finns numera biometriska uppgifter om passinnehavaren lagrad. Med hjälp av dessa går det att med större säkerhet säga att den som identifierar sig överensstämmer med den uppvisade identitetshandlingen. Det minskar också risken för att annan än innehavaren använder identitetshandlingen i bedrägligt syfte. Att använda biometriska uppgifter kan emellertid också innebära risker för den personliga integriteten.

Utredningen bedömer att det noga bör övervägas om elektroniska identitetshandlingar ska innehålla biometriska uppgifter. Frågan om identitetshandlingar ska innehålla biometriska uppgifter ingår i uppdraget till 2017 års ID-kortsutredning.

12.8.2. Den statliga elektroniska identitetshandlingen och förslaget om lag om infrastruktur för elektronisk identitetskontroll och kvalitetsmärket Svensk elektronisk identitetshandling

Utredningen föreslår:

att det i lagen anges att den statliga elektroniska identitetshand-

lingen ska vara på den högsta svenska tillitsnivån enligt tillitsramverket i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling,

att elektronisk identitetskontroll av den statliga elektroniska

identitetshandlingen ska utformas enligt tekniska specifikationer i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling,

att det i lagen särskilt ska anges att den statliga elektroniska iden-

titetshandlingen ska finnas på de fysiska identitetshandlingar som regeringen bestämmer,

att den statliga elektroniska identitetshandlingen ska ha samma

giltighetstid som den fysiska identitetshandling som den finns på.

Utredningen lämnar i kapitel 14 förslag på en lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Utredningen bedömer att infrastrukturen ska bestå bl.a. av det tillitsramverk och de tekniska specifikationer som Elegitimationsnämnden ansvarar för att ta fram i dag. Utredningen bedömer att dessa delar ska författningsregleras och att digitaliseringsmyndigheten ska ges i uppdrag att utveckla och förvalta dem.

Utredningen bedömer att den statliga elektroniska identitetshandlingen ska uppfylla de krav som ställs också på andra utfärdare av elektroniska identitetshandlingar för att kunna få kvalitetsmärket Svensk elektronisk identitetshandling. Ansvaret för den statliga elektroniska identitetshandlingen kan komma att fördelas på flera statliga myndigheter beroende på vilken fysisk identitetshandling som den statliga elektroniska identitetshandlingen ska finnas på och vilka statliga myndigheter som i framtiden kan komma att utfärda sådana. Oavsett vilken statlig myndighet som ansvarar för att utfärda den statliga elektroniska identitetshandlingen ska kvalitetskraven vara desamma.

Högsta tillitsnivån och tekniska specifikationer

Utredningen föreslår att den statliga elektroniska identitetshandlingen ska vara på den högsta tillitsnivån enligt tillitsramverket samt att den ska följa de tekniska specifikationer som utredningen lämnar förslag på att digitaliseringsmyndigheten ska utveckla och förvalta. E-legitimationsnämnden har, som beskrivits, tagit fram tillitsramverk och tekniska specifikationer.

Utredningen har övervägt om det i lagen ska beskrivas vad den högsta tillitsnivån innebär. Tillitsnivåer är föremål för utveckling och ska anpassas efter de rådande standarder som finns på området (se närmare om utredningens förslag till lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling). Utredningen bedömer att det inte är lämpligt att i lag ange vad som krävs för vissa tillitsnivåer. Sådana bedömningar bör vara en uppgift för den statliga myndighet som utvecklar och förvaltar tillitsramverket.

De fysiska bärare som regeringen bestämmer

E-legitimationsnämndens högsta tillitsnivå, tillitsnivå 4, förutsätter som ovan beskrivits att den elektroniska identitetshandlingen finns på en fysisk bärare.

Utredningen bedömer att det är viktigt att i lagen ange att den eller de fysiska bärare som kan innehålla en statlig elektronisk identitetshandling är någon eller några av de fysiska identitetshandlingar som staten utfärdar. Detta för visa att den statliga elektroniska identitetshandlingen inte ska vara föremål för en egen grundidentifieringsprocess, utan i stället vara resultatet av samma process som för den eller de fysiska identitetshandlingar som staten utfärdar.

Som nämnts är frågan om vilka fysiska identitetshandlingar som ska finnas föremål för arbetet i 2017 års ID-kortsutredning. Utredningen avstår därför från att lämna förslag om vilken eller vilka fysiska identitetshandlingar som ska vara bärare av den statliga elektroniska identitetshandlingen. Utredningen avstår också från att lämna förslag på vilka myndigheter som ska utfärda den statliga elektroniska identitetshandlingen.

Giltighetstid

I och med att den fysiska bäraren ska vara en fysisk identitetshandling föreslår utredningen att giltighetstiden för den elektroniska identitetshandlingen ska vara densamma som för den fysiska identitetshandlingen.

12.8.3. Ansökan och utlämnande

Utredningen föreslår:

att ansökan om den statliga elektroniska identitetshandlingen ska

lämnas hos den eller de myndigheter (utfärdande myndigheter) som regeringen bestämmer,

att ansökan om den statliga elektroniska identitetshandlingen ska

lämnas i samband med ansökan om en fysisk identitetshandling,

att sökanden är skyldig att styrka sin identitet och övriga person-

uppgifter,

att ansökan ska avslås under vissa förutsättningar.

Den statliga elektroniska identitetshandlingen ska dela grundidentifieringsprocess med en fysisk identitetshandling. Utredningen har övervägt att föreslå hänvisningar till bestämmelser om ansökan i författningar som gäller för de fysiska bärarna. Eftersom frågan om vilka fysiska identitetshandlingar som ska finnas i Sverige är föremål för analys av 2017 års ID-kortsutredning som ska redovisa sitt uppdrag senast den 29 mars 2019, avstår utredningen från att hänvisa till någon befintlig författning eller att peka ut en viss identitetshandling. Hur bestämmelser om ansökan närmare ska utformas får övervägas inom ramen för arbetet i 2017 års ID-kortsutredning. Det förslag som utredningen lämnar utgår från hur liknande bestämmelser ser ut i författningar som reglerar fysiska identitetshandlingar i dag.

12.8.4. Den statliga elektroniska identitetshandlingen ska erkännas för identifiering hos alla statliga myndigheter, kommuner och landsting

Utredningen föreslår:

att alla offentliga myndigheter ska erkänna identifiering med den

statliga elektroniska identitetshandlingen.

Den statliga elektroniska identitetshandlingen måste kunna användas. För att den ska kunna användas måste det ha etablerats en relation mellan den som ska kontrollera individens identitet och den som har utfärdat den elektroniska identitetshandlingen. Antingen den statliga myndigheten eller en av denne anlitad underleverantör måste under identitetshandlingens giltighetstid kunna intyga individens identitet i relation till de som ska kontrollera identiteten.

Utredningen anser att den statliga elektroniska identitetshandlingen ska fungera i alla e-tjänster där offentliga myndigheter kräver elektronisk identifiering. Den statliga elektroniska identitetshandlingen ska vara en grundbult i den offentliga förvaltningen. Den ska också vara beständig över tid och inte beroende av om en offentlig myndighets upphandling omfattar den. Utredningen föreslår att det i lag skapas en skyldighet för alla offentliga myndigheter som kräver elektronisk identifiering i sina e-tjänster att godta den statliga elektroniska identitetshandlingen.

Med en sådan bestämmelse kan det hävdas att den statliga elektroniska identitetshandlingen kan vara konkurrenshämmande. Utredningen bedömer emellertid att syftet med den statliga elektroniska identitetshandlingen inte är att etablera en konkurrent till övriga elektroniska identitetshandlingar. Den statliga elektroniska identitetshandlingen kommer exempelvis inte att uppfylla individers behov av mobila lösningar. Individer kommer därmed att vilja använda den statliga elektroniska identitetshandlingen för att växla till sig en annan identitetshandling. Utfärdaren av den andra identitetshandlingen kan då lita på att den grundidentifiering som staten gjort av individen är så säker som möjligt.

12.8.5. Den statliga elektroniska identitetshandlingen ska kunna användas som underlag för identitetskontroll av andra utfärdare

Utredningen föreslår:

att den statligt utfärdade elektroniska identitetshandlingen ska

kunna användas som underlag för att utfärda andra elektroniska identitetshandlingar,

att regeringen eller de myndigheter som regeringen bestämmer

får ställa upp villkor för när den statliga elektroniska identitetshandlingen får användas som underlag för ansökan om en annan elektronisk identitetshandling.

Genom att skapa en statligt kontrollerad process för grundidentifiering samt ansökan och utfärdande av den statliga elektroniska identitetshandlingen med högsta tillitsnivå menar utredningen att det finns förutsättningar för andra aktörer att lita på den statliga elektroniska identitetshandlingen. Fysiska identitetshandlingar som staten utfärdar accepteras normalt sett av andra aktörer i samhället. Utredningen anser att staten ska erbjuda en elektronisk motsvarighet till detta.

Utredningen föreslår att den statligt utfärdade elektroniska identitetshandlingen ska kunna användas som underlag för att utfärda andra elektroniska identitetshandlingar på tillitsnivåer som tillåter att sökanden identifierar sig på distans. Individen ska alltså kunna ansöka om andra elektroniska identitetshandlingar elektroniskt och

identifiera sig med den statliga elektroniska identitetshandlingen. Andra utfärdare av elektroniska identitetshandlingar kan därmed erbjuda sina kunder ett helt elektroniskt ansökningsförfarande, genom att exempelvis tillåta att en individ identifierar sig med den statliga elektroniska identitetshandlingen mot en e-tjänst i vilken ansökan och utlämnande av en annan elektronisk identitetshandling kan göras. Därmed kan andra utfärdare dra nytta av det statliga åtagandet att ansvara för grundidentifieringen.

Utredningen menar att det kommer att finnas starka incitament för individer att skaffa andra elektroniska identitetshandlingar än den statliga. Det starkaste incitamentet bedömer utredningen vara att den statliga elektroniska identitetshandlingen endast ska finnas på en fysisk bärare. Det innebär att individer som vill använda sin statliga elektroniska identitetshandling måste ha en kortläsare eller liknande för att kunna använda den. För vissa kommer det att fungera, men för många kommer det att framstå som trubbigt i jämförelse med dagens mobila lösningar.

Hur långt sträcker sig den utfärdande myndighetens ansvar för identifiering som användaren gör i samband med ansökan om en annan elektronisk identitetshandling?

Utredningen bedömer att den utfärdande myndighetens ansvar omfattar att verifiera identiteten hos en användare som ansöker om en annan elektronisk identitetshandling. Därefter har den utfärdande myndigheten inte något ansvar för den andra utfärdarens fortsatta hantering av uppgifterna om en individ. Med detta menar utredningen att myndighetens ansvar sträcker sig till att leverera det identitetsintyg som skapas när en annan utfärdare vill kontrollera en individs identitet.

Föreskriftsrätt

Regeringen eller de myndigheter som regeringen bestämmer behöver kunna ta fram närmare villkor för hur den statliga elektroniska identitetshandlingen ska få användas som underlag för andra elektroniska identitetshandlingar. Det kan exempelvis närmare behöva regleras vilka krav som ska ställas på utfärdare som vill använda den statliga

elektroniska identitetshandlingen som underlag för sin ansökan. Utredningen lämnar inte förslag på sådana föreskrifter eftersom de bör utformas utifrån vilka de ansvariga utfärdande myndigheterna blir.

12.8.6. Den statliga elektroniska identitetshandlingen och andra utfärdare

Utredningen föreslår:

att den utfärdande myndigheten ska registrera vilka andra elektro-

niska identitetshandlingar som har skapats med den statliga elektroniska identitetshandling som underlag.

Den statliga elektroniska identitetshandlingen är avsedd att vara en individs elektroniska basidentitetshandling. Det är viktigt att andra utfärdare och förlitande aktörer kan lita på den. Utredningen menar att den utfärdande myndigheten behöver veta vilka andra identitetshandlingar som har skapats med den statliga elektroniska identitetshandlingen som underlag. Om den statliga elektroniska identitetshandlingen spärras ska den utfärdande myndigheten informera de andra utfärdarna om detta. Syftet med att skapa en sådan kedja är att hålla kopplingen mellan basidentiteten och efterföljande identitetshandlingar intakt. På så sätt skapas ett system till vilket både förlitande aktörer och användare kan fästa tilltro.

12.8.7. Spärr av den statliga elektroniska identitetshandlingen

Utredningen föreslår:

att det i lagen införs regler om när den statliga elektroniska identi-

tetshandlingen ska spärras,

att regeringen eller den myndighet som regeringen bestämmer får

meddela föreskrifter om förfarandet vid spärr av statliga elektroniska identitetshandlingar.

De författningar som styr fysiska identitetshandlingar innehåller bestämmelser om när en identitetshandling ska återkallas eller spärras. Utredningen bedömer att det måste finnas en liknande bestämmelse i den nu föreslagna lagen. Bestämmelsen är utformad utifrån de mot-

svarande bestämmelser som finns i passlagen, förordningen om nationellt identitetskort och lagen om identitetskort för folkbokförda i Sverige. Denna kan dock behöva ses över av 2017 års ID-kortsutredning eftersom utformningen kan vara beroende av vilken eller vilka myndigheter som ska utfärda den statliga elektroniska identitetshandlingen och vilken eller vilka fysiska identitetshandlingar som den ska finnas på.

12.8.8. Processuella bestämmelser

Utredningen föreslår:

att beslut enligt lagen får överklagas till allmän förvaltningsdom-

stol,

att beslut enligt lagen gäller omedelbart, om inte något annat

anges i beslutet.

Den statliga elektroniska identitetshandlingen ska som nämnts dela utfärdandeprocess med dess fysiska bärare. Utredningen har övervägt att föreslå hänvisningar till bestämmelser om ansökan i författningar som gäller för de fysiska bärarna. Eftersom frågan om vilka fysiska identitetshandlingar som ska finnas i Sverige är föremål för analys av 2017 års ID-kortsutredning, kan utredningen inte hänvisa till någon befintlig författning utan att peka ut en viss identitetshandling. Hur de processuella bestämmelserna närmare ska utformas får tas inom ramen för arbetet i 2017 års ID-kortsutredning. Det förslag som utredningen lämnar utgår från hur liknande bestämmelser ser ut i författningar som reglerar fysiska identitetshandlingar.

12.8.9. Personuppgiftsbehandling

Utredningen bedömer:

att den statliga elektroniska identitetshandlingen bör omfattas av

samma registerförfattning som gäller för den fysiska identitetshandlingen.

Utredningen lämnar inte förslag på vilken fysisk identitetshandling som ska vara bärare av den statliga elektroniska identitetshandlingen.

Inte heller lämnar utredningen förslag på vilken myndighet som ska ansvara för att utfärda den statliga elektroniska identitetshandlingen. Regeringens ställningstaganden i dessa delar är beroende av de förslag som 2017 års ID-kortsutredning lämnar i sitt betänkande den 29 mars 2019.

Även om utredningen inte lämnar förslag på bärare eller utfärdande myndighet har utredningen bedömt att den grundidentifieringsprocess som leder fram till passet, det nationella identitetskortet respektive identitetskortet för folkbokförda i Sverige är tillräckligt säker även för den statliga elektroniska identitetshandlingen. Bestämmelserna om personuppgiftsbehandling för dessa identitetshandlingar finns i dag i passlagen, förordningen om nationellt identitetskort och lagen om identitetskort för folkbokförda i Sverige.

I promemorian Passdatalag39 föreslogs en lag om behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. Syftet med den föreslagna lagen var att göra det möjligt för passmyndigheterna och Utrikesdepartementet att behandla personuppgifter på ett ändamålsenligt sätt i myndigheternas passverksamhet och att skydda människor från att deras personliga integritet kränks vid sådan behandling. Den föreslagna lagen var tänkt att ersätta de särregler om personuppgiftsbehandling som finns i passlagen och passförordningen. Promemorian innehöll också förslag till en förordning om behandling av personuppgifter i passmyndigheternas verksamhet avseende nationella identitetskort. Förordningen föreslogs ersätta de särregler om personuppgiftsbehandling som finns i förordningen om nationella identitetskort.

Utredningen konstaterar att promemorians förslag inte har lett till lagstiftning. Datainspektionen var positiv till förslaget om passdatalag, men pekade i sitt remissvar på några brister i förslaget.40

Utredningen bedömer att det är angeläget att frågan om personuppgiftsbehandling regleras. Utredningen bedömer också att det är en fråga som bör tas tillsammans med en bedömning av hur personuppgiftsbehandlingen för den fysiska bäraren av den statliga elektroniska identitetshandlingen ska utformas. Det är visserligen två olika sorters handlingar som en eller flera myndigheter kommer att utfärda (en fysisk och en elektronisk). Utredningen föreslår också att re-

39Ds 2015:44. 40 Remissvar 2015-12-21, dnr 1641-2015.

gleringen av den statliga elektroniska identitetshandlingen ska vara skild från regleringen av den fysiska identitetshandlingen. Utredningen bedömer ändå att bestämmelserna om personuppgiftsbehandling bör hållas samman. Den verksamhet som bestämmelserna om personuppgiftsbehandling ska omfatta är den för utfärdande av identitetshandlingar, och då bör det vara samma författning som reglerar för vilka ändamål en personuppgiftsbehandling får göras.

12.8.10. Ikraftträdande

Utredningen föreslår:

att lagen träder i kraft den 1 januari 2020.

Utredningen bedömer att en statlig elektronisk identitetshandling är efterfrågad. Inte minst med beaktande av att Sverige vill kunna anmäla en statlig elektronisk identitetshandling för gränsöverskridande identifiering (användning inom Europa) enligt eIDAS-förordningen Det är angeläget att statens ansvarstagande för grundidentifiering och utfärdande av elektroniska identitetshandlingar inte ligger alltför långt bort. Samtidigt måste resultatet av 2017 års ID-kortsutredning inväntas. Med beaktande av att den utredningen ska redovisas den 29 mars 2019, bedömer utredningen att ikraftträdandet för den nu föreslagna lagen tidigast kan sättas till den 1 januari 2020.

13. Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll

Utredningen bedömer:

att individer ska ges samma identifieringsmöjligheter oavsett

vilken statlig myndighet, kommun eller landsting som de ska identifiera sig elektroniskt mot,

att det som i dag benämns tjänst för elektronisk identifiering

bör benämnas funktion för elektronisk identitetskontroll.

Elektronisk identifiering har vuxit fram ur en innovativ marknad, där marknadens aktörer har haft möjlighet att utveckla, testa och marknadsföra nya lösningar. Den svenska befolkningen har en hög digital mognad. För många ingår användningen av en elektronisk identitetshandling i vardagen. I takt med utvecklingen har också fler behov tillgodosetts genom nya marknadslösningar. Exempelvis kan nämnas att mobila lösningar för elektronisk identifiering tagits fram ur en behovsdriven utvecklingsprocess. De privata aktörernas innovationer har varit gynnsamma för det offentliga Sverige, där förvaltningen har kunnat dra nytta av marknadslösningarna. Det finns, givet BankID:s dominerande ställning, en förväntan hos individer att de ska kunna använda sitt BankID för att identifiera sig inte bara mot sin bank utan också mot offentliga myndigheter.

Elektronisk identifiering är fråga om ett samspel mellan flera olika aktörer. En förutsättning för att en individ ska kunna använda en viss elektronisk identitetshandling i en e-tjänst är det finns ett avtal mellan utfärdaren och den som har e-tjänsten. När avtal av detta slag sluts mellan en utfärdare och en statlig myndighet, kommun eller ett landsting kallas utfärdaren för leverantör (mer om detta

nedan). Avtalet består av dels en rätt att ställa fråga om identiteten hos en individ, dels att utfärdaren/leverantören ska svara med ett identitetsintyg. I dag benämns avtalets innehåll som en tjänst för

elektronisk identifiering.

Utredningen har tidigare analyserat begreppet identifiering och kommit fram till att det omfattar såväl att en individ identifierar sig som den kontroll som någon gör av individens identitet. Eftersom den nu aktuella tjänsten inte omfattar individen som avtalspart, och definieras som en förvaltningsgemensam digital funktion, bedömer utredningen att den bör kallas funktion för elektronisk identitetskontroll eftersom den syftar till att den som har en e-tjänst ska kunna kontrollera någons identitet.

Det finns i dag inget enhetligt sätt för offentliga myndigheter att anskaffa en funktion för elektronisk identitetskontroll. Varje offentlig myndighet bestämmer själv hur den ska göra. Det leder till att individer kan mötas av olika alternativ för att identifiera sig elektroniskt hos olika offentliga myndigheter.

Enligt utredningen bör målsättningen vara att individer inte ska behöva ha olika elektroniska identitetshandlingar beroende på vilken offentlig myndighet som de ska identifiera sig mot. Att individer kan

välja att ha flera elektroniska identitetshandlingar är en annan sak.

Utredningen bedömer dessutom att det är viktigt att det för individer är tydligt vilka elektroniska identitetshandlingar som de kan använda sig av för att identifiera sig elektroniskt mot offentliga myndigheter.

För att stimulera utveckling av e-tjänster anser utredningen att det ska vara enkelt för statliga myndigheter, kommuner och landsting att veta hur de ska anskaffa en funktion för elektronisk identitetskontroll. Tid och resurser ska inte i onödan behöva läggas på bedömningar av vilka sätt att anskaffa de funktioner som passar myndigheten bäst, än mindre på att ta fram krav som leverantörer ska uppfylla eller för att anpassa egna system utifrån olika leverantörers lösningar. För statliga myndigheter, kommuner och landsting är det dessutom viktigt att det finns möjlighet att skapa förutsättningar för att individer ska kunna identifiera sig genom de nya lösningar som uppstår på marknaden. Det ska givetvis göras med beaktande av att det vid myndighetskontakter måste ställas säkerhetskrav på teknik och tillförlitlighet.

13.1 ”Peka med hela handen”

Utredningen har i sitt arbete träffat företrädare för statliga myndigheter, kommuner och landsting och pratat om hur de ser på sättet att anskaffa funktioner för elektronisk kontroll. Det har inte varit en enhetlig bild, men på det stora hela anser de företrädare som utredningen träffat att regelverket för anskaffning av funktioner för elektronisk identitetskontroll är komplicerat. Eftersom avtal som myndigheterna sluter är mångåriga och dessutom förlängningsbara har också risker med att under lång tid vara fastlåst i ett avtal lyfts fram. Det har beskrivits som svårt för upphandlande myndigheter att avgöra vilket alternativ som är bäst för verksamheten.

13.2. Vad kan en elektronisk identitetshandling användas till?

En elektronisk identitetshandling kan utfärdas av olika aktörer men syftet är alltid detsamma – att intyga identitetsuppgifterna hos en individ. En elektronisk identitetshandling kan också användas för olika åtgärder. eSamverkansprogrammet (eSam) har närmare beskrivit detta.1I det följande beskriver utredningen i korthet vad en elektronisk identitetshandling kan användas till. Beskrivningarna utgår från eSams vägledning, men använder de begrepp som utredningen har bedömt ska användas.

13.2.1. En elektronisk identitetshandling kan användas för …

… tillträde

En elektronisk identitetshandling kan användas för att få tillgång till uppgifter som lämnats ut till honom eller henne i exempelvis en etjänst och få skydd mot att någon annan släpps in under sken av att vara den som har identifierat sig.

1 eSam:s skrivelse Juridisk vägledning för införande av e-legitimering och e-underskrifter.

… uppgiftslämnande

En elektronisk identitetshandling kan användas för att lämna in uppgifter elektroniskt och få skydd mot att någon annan lämnar uppgifter under sken av att vara användaren.

… indirekt underskrift

En elektronisk identitetshandling kan användas som ett led för att skapa en s.k. indirekt underskrift hos t.ex. en myndighet med en från den elektroniska identitetshandlingen fristående underskriftstjänst. Med detta menas en underskrift för att skydda en elektronisk handling mot förfalskning och förnekande av underskrift på motsvarande sätt som om handlingen hade undertecknats på papper.2 Beroende på den typ av e-tjänst som användaren nyttjar och informationsinnehållet i tjänsten kan en viss minsta skyddsnivå krävas för den elektroniska identitetshandlingen.

13.2.2. Identifiering och inloggning är inte samma sak

Utredningen bedömer:

att elektronisk identifiering och inloggning, som begrepp, bör

skiljas åt.

Den som ska kontrollera identiteten är ofta den som har en e-tjänst i vilken individer som vill använda e-tjänsten måste identifiera sig. Vid en genomgång av e-tjänster i den offentliga sektorn kan utredningen konstatera att det man gränssnittsmässigt oftast möts av är att man ska logga in i en e-tjänst.3 Vid inloggning kan individen välja vilken identifieringslösning som han eller hon vill använda. Utredningen anser att sådana gränssnitt gör att individen ofta tolkar elektronisk identifiering som synonymt med inloggning. Utredningen bedömer dock att det är viktigt att skilja på elektronisk identifiering och in-

2 Om elektroniska handlingar, se vidare E-delegationens vägledning Elektroniska original, kopior och avskrifter, 2012-06-07. 3 Bl.a. www.forsakringskassan.se/, 2017-12-17, www.skatteverket.se/, 2017-12-17, www.csn.se/, 2017-12-17.

loggning. Risken är annars att individen betraktar identifieringen endast som ett sätt att logga in, och inte är uppmärksam på att han eller hon faktiskt använder sig av en elektronisk värdehandling, se också avsnitt 12.3.4 Utredningen lämnar därför ett förslag som innebär att det måste tydliggöras för individen att när han eller hon använder sig av en elektronisk identitetshandling så identifierar han

eller hon sig.

13.3. Process för elektronisk identifiering

Den aktör som har e-tjänsten och alltså ska kontrollera identiteten kallas i eSams vägledning för förlitande part. Utredningen väljer att kalla aktören för förlitande aktör. Part som begrepp kan leda tanken fel. Utredningen anser att aktör är ett mer neutralt begrepp. Förlitande kommer av att aktören förlitar sig på att uppgifterna i den elektroniska identitetshandlingen är korrekta och att det är rätt individ som använder sig av den.

När en individ använder sin elektroniska identitetshandling för att identifiera sig i en e-tjänst ser identifieringsprocessen ut som följer:

En individ som använder sin elektroniska identitetshandling, kallas för

användare. När avtal av detta slag sluts mellan en utfärdare och en

offentlig myndighet kallas utfärdaren för leverantör.

4 https://computersweden.idg.se/2.2683/1.693238/e-id-varning.

Användaren anger vilken elektronisk identitetshandling

som hen vill använda för att identifiera sig mot en e-tjänst

hos en viss förlitande aktör.

Den förlitande aktören skickar en begäran om identitetsintyg

till utfärdaren av den

elektroniska

identitetshandlingen.

Utfärdaren av den elektroniska identitetshandlingen skickar ett

identitetsintyg till den

förlitande aktören.

Användaren släpps in i e-

tjänsten.

Användarens behörighet att se uppgifter och vidta åtgärder i etjänsten styrs av den förlitande aktören, och finns alltså inte i

den elektroniska identitetshandlingen.

13.3.1. Val av identitetshandling i en e-tjänst

En användare som vill identifiera sig mot en e-tjänst måste först välja vilken identitetshandling som han eller hon vill använda sig av.

En e-tjänst tillhandahålls av en förlitande aktör. Den förlitande aktören kan vara en offentlig myndighet eller ett företag. För vissa etjänster kräver förlitande aktörer att en användare ska identifiera sig elektroniskt innan användaren släpps in i e-tjänsten.

För att en användare ska kunna identifiera sig elektroniskt måste han eller hon ha en elektronisk identitetshandling. Användare måste ansöka om en sådan hos någon utfärdare av elektroniska identitets-

handlingar. Mellan utfärdaren och användaren sluts ett avtal.5 Det

finns flera utfärdare av elektroniska identitetshandlingar i Sverige

5 Läs mer om detta avtal i eSam:s skrivelse Juridisk vägledning för införande av e-legitimering och e-underskrift.

Förlitande aktör

[har en e-tjänst]

[Vill identifiera sig med viss elektronisk id-handling]

Användare

ID 1 ID 2 ID 3 ID 4

Utfärdare av elektronisk

identitetshandling

Avtal

[har utfärdat en elektronisk identitetshandling till användaren]

i dag. Bankernas BankID är den som används mest, men det finns också andra utfärdare av elektroniska identitetshandlingar.6

För att en förlitande aktör ska kunna erbjuda användaren elektronisk identifiering måste den förlitande aktören ha slutit avtal om en funktion för elektronisk identitetskontroll med en eller flera utfärdare av elektroniska identitetshandlingar. Dessa avtal kan – för offentliga myndigheter slutas på flera sätt. Utredningen återkommer till detta.

13.3.2. Fråga till utfärdaren om identitetsuppgifter

När användaren har valt vilken elektronisk identitetshandling som han eller hon vill använda för att identifiera sig, måste den förlitande aktören kontrollera användarens identitet. Detta görs genom att den förlitande aktören ställer en fråga till utfärdaren/leverantören om

6 AB Svenska Pass, Telia, Freja eID.

Utfärdare av elektronisk

identitetshandling

[Behöver kontrollera

Identiteten] Förlitande aktör

Fråga om användaren

Användare

användarens uppgifter stämmer.7 Utfärdaren har ett åtagande att intyga personens identitet under den elektroniska identitetshandlingens livslängd.

13.3.3. Svar med ett s.k. identitetsintyg

I det föregående steget ställde den förlitande aktören en fråga till utfärdaren om användarens identitet. Utfärdaren svarar genom att skicka ett s.k. identitetsintyg, som innehåller de uppgifter som den förlitande aktören behöver för att lita på att användaren är den som han eller hon utger sig för att vara. Ett identitetsintyg är en elektronisk handling som garanterar spårbarhet och säkerhet i e-tjänsten. Identitetsintyget kan användas endast en gång vilket innebär att ett nytt identitetsintyg måste utfärdas vid varje identitetskontroll.

7 I sammanhanget bör den konstruktion som BankID har valt särskilt uppmärksammas. I dag har BankID-kollektivet formerat sig så att det finns fyra säljande banker som tecknar avtal i fri konkurrens med varandra. Den förlitande aktör som har tecknat ett avtal med en säljande bank får sedan tillgång till samtliga kunder som har BankID som elektronisk identitetshandling, oavsett vilken bank som har utfärdat BankID:t. Gentemot myndigheter är det tre av dessa säljande banker, Handelsbanken, Swedbank och Nordea, som agerar parallellt. De myndigheter som finns med på Kammarkollegiets ramavtal erbjuder t.ex. avtal med alla tre samtidigt.

Utfärdare av elektronisk

identitetshandling

Förlitande aktör

[Ska validera användarens identitet]

Identitetsintyg

Användare

I bland kan en annan aktör än utfärdaren/leverantören skicka identitetsintyget. Denna aktör kallas för identitetsintygsutfärdare.

13.3.4. Tillträde till e-tjänsten

När den förlitande aktören har tagit emot identitetsintyget kan användaren släppas in i e-tjänsten. Den förlitande aktören behöver inte göra egna kryptografiska kontroller av vem som har identifierat sig eller om den elektroniska identitetshandlingen är spärrad. För den förlitande aktören är det tillräckligt att ta del av uppgifterna i identitetsintyget.8

13.3.5. Behörighet finns i systemen, inte i den elektroniska identitetshandlingen

Den elektroniska identitetshandlingen bör inte innehålla uppgifter om användarens behörighet eller roll. Med behörighet avses vad användaren får göra, dvs. vilken åtkomst och rätt att vidta åtgärder som han eller hon har. Sådana uppgifter bör finnas hos den förlitande aktören i register, som kan ändras utan att den elektroniska identitetshandlingen behöver ändras. Med behörighet avses också uppgifter om företrädarskap, exempelvis att en användare tecknar ett visst företags firma. Sådana uppgifter finns normalt sett i andra myndigheters register, vem som exempelvis tecknar ett företags firma finns i bolagsregist-

8 eSam:s skrivelse Juridisk vägledning för införande av e-legitimering och e-underskrift, s. 16.

Förlitande aktör

Användare

[släpper in användaren i e-tjänsten]

ren.9 Den sortens uppgifter kan e-tjänsten utforma för att inhämta på ett automatiserat sätt.

13.4. Närmare om relationen mellan förlitande aktör och utfärdare av elektronisk identitetshandling

Statliga myndigheter, kommuner och landsting behöver i regel anskaffa funktioner för elektronisk identitetskontroll från andra aktörer, dvs. utfärdare av elektroniska identitetshandlingar.10 I de sammanhangen kallas den aktör som säljer funktionen för elektronisk identitetskontroll för leverantör. Statliga myndigheter, kommuner och landsting med behov av funktioner för elektronisk identitetskontroll har i dag tre valmöjligheter. De kan antingen

  • upphandla en funktion för elektronisk identifiering på egen hand,
  • avropa en funktion för elektronisk identifiering på ramavtal som

Kammarkollegiet tillhandahåller, eller

  • besluta om att tillhandahålla valfrihetssystem samt ansluta sig till det system för säker elektronisk identifiering som E-legitimationsnämnden har.

De två första möjligheterna omfattas av lagen (2016:1145) om offentlig upphandling (LOU), medan användning av den tredje möjligheten regleras i lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (eLOV). I det följande beskrivs i korthet vad de olika alternativen innebär. Utredningen återkommer med bedömning av om alternativen är ömsesidigt uteslutande, eller om de kan vara parallella.

9 Bolagsverket ansvarar för att registrera uppgifter om företag, bl.a. ansvarar Bolagsverket för aktiebolagsregistret och handelsregistret i vilka det finns uppgifter om aktiebolag respektive handelsbolag, enkla bolag, enskilda näringsidkare, kommanditbolag, trossamfund som utövar näringsverksamhet och ideella föreningar som utövar näringsverksamhet. 10 Det finns exempel på myndigheter som har tagit fram egna lösningar för elektronisk identifiering. Huddinge kommun har t.ex. utvecklat en egen elektronisk identitetshandling för sina anställda.

13.4.1. Offentlig upphandling – upphandlande myndighet tilldelar kontrakt eller avropar på ramavtal

Regler om offentlig upphandling ska tillämpas när en upphandlande myndighet eller enhet tilldelar en leverantör ett kontrakt eller ingår ramavtal för varor, tjänster, byggentreprenader samt bygg- och tjänstekoncessioner. Offentlig upphandling syftar till att beskriva hur sådana kontrakt eller ramavtal sluts. Regler om offentlig upphandling bygger på EU-direktiv och är till stor del lika inom hela EU.

Svenska domstolar är skyldiga att följa EU-domstolens rättspraxis och möjligheterna till nationella undantag är små. Vid tillämpningen av bestämmelserna om offentlig upphandling gäller enligt upphandlingsdirektiven de grundläggande EU-rättsliga principerna om likabehandling, icke-diskriminering, öppenhet, proportionalitet och ömsesidigt erkännande.11 Dessa grundläggande principer har sitt ursprung i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) och i EU-domstolens rättspraxis. Principerna följer alltså ytterst av fördraget och de artiklar som reglerar rätten till de fria rörligheterna.12

Den 26 februari 2014 antogs tre nya EU-direktiv på upphandlingsområdet.13 Direktiven har föranlett förändringar i det svenska upphandlingsrättsliga regelverket, genom en ny lag (2016:1145) om offentlig upphandling och lag (2016:1146) om upphandling inom försörjningssektorerna samt lagen (2016:1147) om upphandling av koncessioner. De två första lagarna har ersatt tidigare lagstiftning på området,14 medan den senare lagen är helt ny.

11 Artikel 18 i LOU-direktivet, artikel 36 i LUF-direktivet och artikel 3 i LUK-direktivet. 12 SOU 2016:78, Ordning och reda i välfärden,s. 488 ff. 13 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (nya klassiska direktivet), Europaparlamentets och rådets direktiv 2014/25/EU om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direktiv 2004/17/EG (nya försörjningsdirektivet) samt Europaparlamentets och rådets direktiv 2014/23/EU av den 26 februari 2014 om tilldelning av koncessioner (koncessionsdirektivet). 14 Lagen (2007:1091) om offentlig upphandling och lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter och posttjänster.

Tilldelning av kontrakt

En upphandlande myndighet ska tilldela den leverantör vars anbud är det ekonomiskt mest fördelaktiga för myndigheten ett kontrakt.15Vilket anbud som är det ekonomiskt mest fördelaktiga ska utvärderas på någon av grunderna

  • bästa förhållandet mellan pris och kvalitet,
  • kostnad eller
  • pris.

Myndigheten ska i något av upphandlingsdokumenten ange den grund för utvärdering av anbud som den avser att använda. En följd av dessa bestämmelser är att genom upphandling kan endast en leverantör tilldelas kontraktet.

Av E-legitimationsnämndens enkätundersökning om behov av elektroniska identitetshandlingar för 2017 framgår att av den totala volymandelen elektroniska identifieringar och elektroniska underskrifter för 2017 motsvarade egen upphandling nio procent av volymandelen. Av andelen upphandlande myndigheter var det 42 procent som hade upphandlat funktionerna på egen hand.16

Ramavtal

Kammarkollegiet ansvarar för att upphandla samordnade ramavtal som är avsedda för andra statliga myndigheter.17 Inom området informationsteknik gäller ansvaret för den offentliga förvaltningen. I uppgiften ingår att tillhandahålla stödverksamhet för inköp vid avrop från de samordnade ramavtal som Kammarkollegiet har upphandlat. Kammarkollegiet ska verka för att bästa möjliga villkor skapas för myndigheternas anskaffning av varor och tjänster. Inom området informationsteknik ska myndigheten särskilt beakta förvaltningsgemen-

15 16 kap. 1 § LOU. 16 E-legitimationsnämndens enkätundersökning för 2017. Enkäten skickades ut till alla 500 registraturer och i juli 2017 hade 146 svar inkommit, varav hälften av svaren var från kommunal sektor och hälften från statliga myndigheter. https://www.elegnamnden.se/download/ 18.515a6be615c637b9aa4150e1/1505211922933/2017-09-11+E-legtimationsenk%C3% A4ten+2017+resultat.pdf, 2017-12-22. 178 a § förordningen (2007:824) med instruktion för Kammarkollegiet.

samma standarder samt intresset av innovationer och teknikneutrala lösningar. Kammarkollegiet ansvarar för ramavtal där bl.a. elektronisk identifiering och e-underskrift ingår.

Det är möjligt att avropa funktioner för identifiering på Kammarkollegiets ramavtal Programvaror och tjänster Informationsförsörjning 2014 (PT14-IF). Ramavtalet är inte inriktat på de funktioner för identifiering som används och inte heller avgränsade till funktioner för elektronisk identifiering. PT14-IF är mycket brett till sitt omfång och är i många hänseenden mer ett kommersiellt ramverk än konkret kravställning för specifika tjänster. Även om det finns exempelavrop och specifikationer ställer avrop på ramavtalet höga krav på den förlitande aktören att själv konkretisera och specificera kravställningen. Många leverantörer, t.ex. CGI, Visma och Cybercom tillhandahåller helhetslösningar där tillhörande avrop och kombinationer av avtal innefattar även avtal med en eller flera leverantörer av identitetsintyg. De agerar alltså återförsäljare av funktioner för identitetskontroll som de har upphandlat från t.ex. en bank.18 Funktionen ligger ofta inbakad i leveransen från dessa leverantörer och syns inte som en separat del för den upphandlande myndigheten.

Av E-legitimationsnämndens enkätundersökning för 2017 framgår att av den totala volymandelen elektroniska identifieringar och elektroniska underskrifter för 2017 motsvarade avrop på ramavtal 36 procent av volymandelen. Av andelen upphandlande myndigheter var det 46 procent som avropade tjänsterna.19

Ändringar i ett kontrakt

Ett kontrakt eller ett ramavtal får ändras utan en ny upphandling, om det exempelvis rör sig om ändringar som är av mindre värde eller om det finns en ändrings- eller optionsklausul med visst innehåll i något av upphandlingsdokumenten i den ursprungliga upphandlingen.20 En ändring får också göras genom en kompletterande beställning under vissa förhållanden eller om den inte är väsentlig.21

18 eSam:s Juridiska vägledning för införande av e-legitimering och e-underskrifter, s. 37. 19 E-legitimationsnämndens enkätundersökning för 2017. 20 17 kap. 8–14 §§ LOU. 21 17 kap. 14 § LOU.

13.4.2. Valfrihetssystem i fråga om funktioner för elektronisk identifiering

Vad är ett valfrihetssystem?

Utredningen har i delbetänkandet beskrivit de befintliga regelverken för valfrihetssystem.22 När valfrihetssystem får anordnas är särskilt reglerat i lag. I dag finns det fem lagar som reglerar under vilka förhållanden och på vilket sätt upphandlande myndigheter får anordna valfrihetssystem. 23

Valfrihetssystem bygger på att det är individen som har möjlighet att välja vilken, bland många, leverantörer som erbjuder det bästa alternativet. Med valfrihetssystem avses alltså ett förfarande där individen har rätt att välja leverantör bland de leverantörer som en statlig myndighet, kommun eller landsting har godkänt och tecknat kontrakt med för att få en tjänst utförd. Det är den som köper tjänsten – den statliga myndigheten, kommunen eller landstinget – som bestämmer villkor – krav – för hur ett kontrakt ska fullgöras liksom grunderna för den ekonomiska ersättningen. En leverantör ansöker om att få anslutas till valfrihetssystemet. Den statliga myndigheten, kommunen eller landstinget ska godta alla leverantörer som uppfyller de fastställda kraven. När godkännande lämnats tecknar den statliga myndigheten, kommunen eller landstinget kontrakt med leverantören.

I valfrihetssystem finns det ingen priskonkurrens mellan leverantörerna, eftersom ersättningen är bestämd på förhand. Det är vidare möjligt för leverantörer att ansluta sig till valfrihetssystemet löpande och den som anordnar valfrihetssystem måste löpande annonsera på en nationell webbplats för valfrihetssystem.

22SOU 2017:23, digitalforvaltning.nu, s. 230 f. 23 Lagen (2008:962) om valfrihetssystem, LOV, som gäller för vissa tjänster inom hälso- och sjukvård och socialtjänster, lagen (2010:536) om valfrihet hos Arbetsförmedlingen, lagen (1993:1651) om läkarvårdsersättning och lagen (1993:1652) om ersättning för fysioterapi samt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering.

Lagen ( 2013:311 ) om valfrihetssystem i fråga om tjänster för elektronisk identifiering

eLOV trädde i kraft år 2013. Lagen utformades med lagen (2008:962) om valfrihetssystem (LOV) som förebild. LOV reglerar valfrihetssystem för tjänster inom hälsovård och socialtjänster. I förarbetena till LOV angavs att det kontrakt som tilldelades var att bedöma som en tjänstekoncession som inte omfattades av de då gällande EUrättsliga upphandlingsdirektiven.24

Regeringen uttalade i förarbetena till eLOV att upphandling av det som då kallades för eID-tjänster (utredningen använder funktion för elektronisk identitetskontroll) skulle utformas på ett sätt som gjorde det möjligt för flera leverantörer att ansluta. Med eID-tjänster avsågs, såvitt utredningen kan bedöma, det som utredningen kallar funktion för elektronisk identitetskontroll. Det skulle vidare, enligt regeringen, vara användaren som hade makten att bestämma vem som skulle tillhandahålla funktionen. Därmed stod utfärdaren/leverantören risken för att användaren skulle välja en konkurrerande lösning. Utfärdare/leverantör kunde inte heller på förhand bedöma hur mycket, eller hur ofta, en användare skulle komma att använda funktionen. Dessutom var det inte säkert att utfärdarnas ersättning i valfrihetssystemet skulle motsvara den investering som utfärdaren haft i sin verksamhet eller de driftskostnader de hade för verksamheten. På dessa grunder bedömde regeringen att utfärdarna var utsatta för marknadens nycker och att de kontrakt som skulle ingås inom ramen för valfrihetssystemet var att bedöma som av samma karaktär som kontrakt som tilldelas enligt LOV.25 I betänkandet E-legitimationsnämnden och Svensk e-legitimation beskrevs att anordnandet av valfrihetssystem var en form av upphandling.26 Utredningen återkommer i ett senare avsnitt med förslag om att regeringen ska låta se över den rättsliga klassificeringen av eLOV. Redan här kan emellertid framhållas att valfrihetssystem i dag inte bedöms vara en form av upphandling, utan att det är fråga om en nationell lagstiftning som ska följa de upphandlingsrättsliga principerna, men som inte är upphandling.

24Prop. 2008/09:29 s. 55 ff och artikel 17 i Europaparlamentets och rådets direktiv 2004/18/EG om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster. 25Prop. 2012/13:123, s. 31. 26SOU 2010:104, s. 114.

eLOV kom att utformas som en helt fristående författning från LOV. Regeringen bedömde att skillnaderna mellan funktioner för elektronisk identifiering (som utredningen föreslår ska heta elektronisk identitetskontroll) och de tjänster som omfattas av LOV gjorde att det inte framstod som ändamålsenligt att skapa en lag som i huvudsak hänvisade till bestämmelserna i LOV. Vidare bedömde regeringen att en sådan lagteknisk lösning skulle skapa otydligheter och bli svåröverskådlig.27

Valfrihetssystem är ett sätt bland många

När eLOV:en infördes bedömde regeringen att det borde vara upp till varje offentlig myndighet att själv avgöra om det fanns ett sådant behov att valfrihetssystem borde inrättas. Regeringen bedömde att det inte borde finnas hinder för en offentlig myndighet att upphandla tjänster för elektronisk identifiering på annat sätt eller för att upphandla tilläggstjänster för specifika behov, utöver vad som omfattas av redan inrättade valfrihetssystem.28

E-legitimationsnämnden är ombud för anslutna myndigheter, kommuner och landsting

eLOV gäller när en upphandlande myndighet har beslutat att tillämpa valfrihetssystem i fråga om funktioner för elektronisk identifiering av enskilda i myndighetens elektroniska tjänster, anslutit sig till ett system för säker elektronisk identifiering som tillhandahålls av den myndighet som regeringen bestämmer och uppdragit åt den myndigheten att i den upphandlande myndighetens namn administrera valfrihetssystemet, föra talan i samband med mål om rättelse och i förekommande fall vidta rättelser.29

E-legitimationsnämnden har fått regeringens uppdrag att vara den som tillhandahåller systemet för säker elektronisk identifiering.30 Vid lagens tillkomst bedömde regeringen att E-legitimationsnämnden

27Prop. 2012/13:123, s. 35. 28Prop. 2012/13:123, s. 34. 29 1 § eLOV. 301 a § förordningen (2010:1497) med instruktion för E-legitimationsnämnden.

skulle inta rollen som ombud för de upphandlande myndigheterna. Regeringen anförde följande:

E-legitimationsnämnden ska bistå de upphandlande myndigheterna i syfte att säkerställa att de krav på leverantörerna som ställs vid anskaffningen av tjänsterna och de kontrakt som tecknas är förenliga med det regelverk som gäller för identitetsfederationen. För att uppnå detta syfte bör Elegitimationsnämnden i egenskap av ombud för de upphandlande myndigheterna ansvara för hela det praktiska förfarandet. Nämnden bör alltså svara för annonsering och utformning av förfrågningsunderlag, liksom för godkännande av och tecknande av kontrakt med de intresserade leverantörer som uppfyller de krav som ställs. Ombudsrollen bör ha sådan karaktär att de upphandlande myndigheterna kommer att anses ha inrättat sina egna valfrihetssystem. En följd av att E-legitimationsnämnden inte ska agera i eget namn utan på uppdrag av den som inrättar valfrihetssystem är att det blir flera valfrihetssystem som ska samordnas av E-legitimationsnämnden. För att E-legitimationsnämnden ska kunna fullgöra sin samordningsroll och säkerställa att de parter som deltar i identitetsfederationen kan ha nödvändig tillit till att den elektroniska identifieringen är säker måste de krav som ställs på leverantörerna vara enhetliga. Olika upphandlande myndigheter kan alltså inte ha helt egna och skilda krav. Mot denna bakgrund bör det vara en förutsättning för den nya lagens tillämpning att den som beslutar att tillämpa valfrihetssystem i fråga om tjänster för elektronisk identifiering uppdrar åt den myndighet som regeringen bestämmer, vilket bör vara E-legitimationsnämnden, att administrera systemet.31

Valfrihetssystem enligt eLOV

Sedan eLOV trädde i kraft har E-legitimationsnämnden tagit fram tre olika valfrihetssystem;

  • Valfrihetssystemet för Svensk e-legitimation,
  • eID Övergångstjänst 2016 och
  • 2017 E-legitimering.

De första två är stängda för nytillträde, men leveransavtalen i eID 2016 Övergångstjänst löper ut den 31 december 2018. Det tredje – 2017 Elegitimering – är det som utfärdare och myndigheter kan ansluta sig till i dag.32 I det följande beskrivs de olika valfrihetssystemen närmare.

31 Prop. 2012/13 :123, s. 36. 32 Uppgifterna har lämnats av E-legitimationsnämndens kansli.

Valfrihetssystem förSvensk e-legitimation, annonserades i februari 2014. Den tekniska metoden för identitetsintygen följde SAML 2.0 enligt E-legitimationsnämndens tekniska specifikationer. Det första identitetsintyget per användare, eID-utfärdare och månad skulle kosta den upphandlande myndigheten 2,98 kronor och de följande transaktionerna samma månad skulle varit kostnadsfria. eID-utfärdarens ersättning skulle varit 1,98 kronor per användare, upphandlande myndighet och månad. Mellanskillnaden skulle täcka E-legitimationsnämndens kostnader. Skälet att välja den fasta prismodellen var att göra kostnaderna för de upphandlande myndigheterna förutsägbara och därmed möjliga att budgetera för. Nitton upphandlande myndigheter anslöt sig, bland dem Skatteverket och Pensionsmyndigheten. Det motsvarade cirka 50 procent av den efterfrågade transaktionsvolymen. Två stora aktörer, Försäkringskassan och Inera AB, anslöt sig emellertid inte. Det gjorde inte heller någon leverantör, varför valfrihetssystemet togs ned våren 2016. Det innebar att även de till valfrihetssystemet kopplade centrala tjänsterna33 lades ner.

Valfrihetsystem eID 2016 Övergångstjänst är ett gällande valfrihetssystem där leveransavtalen löper ut den 31 december 2018. Detta valfrihetssystem är stängt för nytillträde. Den tekniska metoden för identitetsintygen väljs av leverantörerna och det finns inga centrala tjänster. Transaktionspriset för ett identitetsintyg är 17 öre. Totalt 37 myndigheter har anslutit sig och bland dem finns Försäkringskassan och Pensionsmyndigheten, vilket motsvarar 55 procent av den offentliga transaktionsvolymen. Enligt uppgifter från E-legitimationsnämndens kansli skulle en större andel upphandlande myndigheter ha varit med om det hade gått att välja den tekniska metoden SAML 2.0 enligt nämndens tekniska specifikationer och om valfrihetssystemet hade annonserats några månader tidigare än mars 2016, då de sista avropsavtalen på det tidigare ramavtalet (eID 2008) var nära att löpa ut. Både BankID och Telia:s lösning finns med i detta valfrihetssystem, för BankID genom att Swedbank, Handelsbanken och Nordea är anslutna.

Valfrihetssystem2017 E-legitimering är ett valfrihetssystem som öppnades i juli 2017. Valfrihetsystemet är enligt uppgift från Elegitimationsnämnden tänkt att vara huvudlösning för elektronisk

33 Enligt uppgift från E-legitimationsnämndens kansli var de centrala tjänsterna dels ett metadataregister, dels en central anvisningstjänst som innebar en lista över inloggningsmetoder att välja mellan, dels en central intygskonverteringstjänst som innebar att leverantörernas tekniska metod konverterades till SAML 2.0 enligt E-legitimationsnämndens tekniska ramverk.

identifiering på tillitsnivå 3. Den tekniska metoden för identitetsintygen följer SAML 2.0 enligt E-legitimationsnämndens tekniska specifikationer.34 Transaktionspriset för ett identitetsintyg är 17 öre, liksom i eID 2016 Övergångstjänst. Enligt uppgifter från E-legitimationsnämndens kansli är det i skrivande stund fyra upphandlande myndigheter som har anslutit sig till 2017 E-legitimering, varav Arbetsförmedlingen och Bolagsverket är de som har störst transaktionsvolym. Ingen leverantör har i skrivande stund ansökt om att få ansluta sig.

13.4.3. Valfrihetssystem är ändamålsenligt

Utredningen bedömer:

att valfrihetssystem för elektronisk identitetskontroll är både funktionellt och effektivt,

att köp av funktion för elektronisk identitetskontroll ska inriktas

på eLOV.

Såväl egen upphandling som avrop på ramavtal ställer höga krav på myndigheterna för att konkretisera och specificera kravställningen. Om en statlig myndighet, kommun eller ett landsting väljer egen upphandling enligt LOU kan ett kontrakt endast tilldelas en leverantör. Därmed skapar vanlig upphandling inte förutsättningar för en marknad där individer ska kunna välja vilken utfärdare av elektroniska identitetshandlingar som de bedömer vara bäst. I stället är det den offentliga myndigheten som genom sin kravställning väljer åt individen. Sett utifrån individens perspektiv, och med beaktande av att statliga myndigheter, kommuner och landsting i regel upphandlar sina funktioner separat från varandra, kan det medföra att individer måste ha flera elektroniska identitetshandlingar, inte efter eget val utan på grund av att upphandlingsförfaranden har resulterat i att olika utfärdare tilldelats kontrakt hos olika offentliga myndigheter.

Valfrihetssystem har tagits fram som ett sätt att säkra att det är individen som ska ha valmöjligheterna. I delbetänkandet föreslog utredningen en lag om valfrihet för elektroniska brevlådor,35 just för att

34 Enligt uppgift från E-legitimationsnämndens kansli gäller detsamma för identitetsintyg från den svenska eIDAS-noden. 35 Lagen benämns i detta betänkande lagen om valfrihet om digitala brevlådor.

säkerställa att individen ska ha möjlighet att, bland flera leverantörer av elektroniska brevlådor, själva välja den leverantör som individen uppfattar tillhandahåller den bästa kvaliteten.36 Utredningen har således tidigare bedömt, och bedömer alltjämt, att valfrihetssystem är ett ändamålsenligt sätt för statliga myndigheter, kommuner och landsting att anskaffa digitala funktioner.

Genom valfrihetssystem skapas möjlighet för leverantörer att ansluta sig löpande. Det gör att nya innovativa lösningar kan anslutas under valfrihetssystemens livstid. Valfrihetssystem, som administreras av en myndighet, innehåller också en för de ansluta myndigheterna gemensam kravbild gentemot leverantörerna. Detta leder till att leverantörerna inte behöver specialanpassa sina lösningar utifrån en specifik offentlig myndighets behov. De ges därmed möjlighet till mer standardiserade och gemensamma funktioner för hela förvaltningen.

Utredningen bedömer att det genom valfrihetssystem skapas förutsebarhet för både offentliga myndigheter och leverantörer, liksom att det ger individen möjlighet att välja bland flera leverantörer.

eLOV är en redan befintlig författning och E-legitimationsnämnden har, som beskrivits, tagit fram några valfrihetssystem sedan lagens tillkomst. Utredningen konstaterar att det har varit svårt att få såväl offentliga myndigheter som utfärdare att ansluta till de valfrihetssystem som E-legitimationsnämnden har tagit fram. Ansluter sig inte utfärdarna vill inte de offentliga myndigheterna heller ansluta sig, eftersom de då inte får det som de behöver. Ansluter sig inte många offentliga myndigheter, vill inte utfärdare ansluta sig.

Valfrihetssystemet eID Övergångstjänst 2016 är det valfrihetssystem som varit mest framgångsrikt genom att Swedbank, Handelsbanken och Nordea – således lösningen BankID – samt Telia funnits med liksom flera offentliga myndigheter. Där fanns dock inga tekniska specifikationer med. Svårigheter tycks alltså finnas när tekniska specifikationer inkluderas i villkoren för valfrihetssystem eftersom det då ställer krav på leverantörerna att de ska anpassa sig.

Utredningen bedömer att det finns utvecklingsmöjligheter när det gäller valfrihetssystem för elektronisk identitetskontroll.

36 digitalforvaltning.nu, SOU 2017:23, s. 233.

13.5. Sätt att anskaffa funktion för elektronisk identitetskontroll är en sak, hur trafiken till följd av funktionen sedan flödar är en annan

Förlitande aktörer ska kunna ställa frågan om en individ och få ett identitetsintyg tillbaka. Som beskrivits ingår dessa delar i en funktion för elektronisk identitetskontroll, som utredningen beskrivit att förlitande aktörer kan anskaffa på olika sätt. De olika sätten svarar samtliga på frågan hur den statliga myndigheten, kommunen eller landstinget anskaffar funktionen. För att leverantörer ska veta vad de har att förhålla sig till sätter den upphandlande myndigheten upp villkor för funktionen. Resultatet blir ett kontrakt mellan den förlitande aktören och en leverantör.

Med trafik menar utredningen mellan vilka aktörer som frågor respektive identitetsintyg skickas. Det mest renodlade sättet att göra detta på är att utfärdaren skickar identitetsintyget direkt till den förlitande aktören. Emellertid är det inte alltid så det går till. I bland är det en underleverantör till utfärdaren som skickar identitetsintyget, efter att ha anpassat identitetsintyget till ett intyg som är anpassat för den förlitande aktörens it-miljö.37 Det är då fråga om en indirekt leverans.

13.6. Ändringar i eLOV

13.6.1. Tjänst för elektronisk identifiering blir funktion för elektronisk identitetskontroll

Utredningen föreslår:

att den tjänst som beskrivs i eLOV ska kallas funktion för elek-

tronisk identitetskontroll,

att lagens namn ändras från lag om valfrihetssystem i fråga om

tjänster för elektronisk identifiering till lag om valfrihetssystem i fråga om funktioner för valfrihetssystem.

Förslaget genomförs genom lag om ändring av lag om valfrihetssystem i fråga om funktion för elektronisk identitetskontroll.

37 eSam:s skrivelse Juridisk vägledning för införande av e-legitimering och e-underskrift, s. 19.

Utredningen anser att den tjänst som i eLOV kallas för elektronisk identifiering i stället bör heta funktion för elektronisk identitetskontroll.

Utredningen har tidigare motiverat varför begreppet förvaltningsgemensam digital funktion ska användas. Som en följd av det resonemanget föreslår utredningen att begreppet tjänst i eLOV ska bytas ut mot funktion.

Som beskrivits innefattar funktionen att en förlitande aktör kan ställa fråga om en användares identitet till en leverantör och att leverantören svarar med ett identitetsintyg. Syftet med funktionen är att den förlitande aktören ska kontrollera identiteten på en användare. Funktionen måste anskaffas i förväg, alltså innan användaren ens är inblandad. Utredningen har använt begreppet identifiering för att beskriva såväl att någon identifierar sig som kontroll av annans identitet. Givet innehållet i den funktion som förlitande aktör måste anskaffa, föreslår utredningen att funktionen ska kallas elektronisk identitetskontroll.

Utredningens bedömning leder till att namnet på eLOV måste ändras, liksom de bestämmelser i lagen som beskriver det som nu kallas tjänst och det som utredningen föreslår ska kallas funktion för elektronisk identifiering.

13.6.2. Statliga myndigheter, kommuner och landsting

ska ansluta sig till valfrihetssystem

Utredningen föreslår:

att alla statliga myndigheter, kommuner och landsting med e-

tjänster som kräver elektronisk identifiering ska ansluta sig till valfrihetssystem som digitaliseringsmyndigheten tillhandahåller.

Utredningen anser att den valmöjlighet som statliga myndigheter, kommuner och landsting har ska ersättas av en skyldighet att ansluta sig till de valfrihetssystem för elektronisk identifiering som digitaliseringsmyndigheten tillhandahåller. På detta sätt bedömer utredningen att det skapas en tydlighet för såväl statliga myndigheter som kommuner och landsting hur de ska gå till väga för att anskaffa en funktion för elektronisk identitetskontroll.

Utredningen har övervägt alternativet att inte lägga fram detta förslag och låta det befintliga regelverket vara som det är i dag, med samtliga sätt att anskaffa funktioner för elektronisk identifiering valbara. Därmed skulle det fortsatt vara upp till statliga myndigheter, kommuner och landsting att själva besluta om de vill anordna valfrihetssystem. Vid en sammantagen bedömning anser utredningen emellertid att det ur ett förvaltningsövergripande perspektiv är mest effektivt om alla statliga myndigheter, kommuner och landsting anvisas ett

sätt för anskaffning av funktion för elektronisk identitetskontroll.

Genom ett anvisat och ensat sätt för alla offentliga myndigheter att anskaffa funktioner för elektronisk identitetskontroll skapas förutsättningar för att individer ges samma valmöjligheter när de ska identifiera sig elektroniskt vare sig detta görs hos en statlig myndighet, kommun eller landsting. Det gör att utredningen bedömer att det är motiverat med ett förslag att statliga myndigheter, kommuner och landsting ska ansluta sig till valfrihetssystem. En sådan skyldighet måste regleras i lag.

13.6.3. En myndighet ges ansvar att tillhandahålla valfrihetssystem för allas räkning i stället

för ombudsrelationer

Utredningen föreslår:

att digitaliseringsmyndigheten ska tillhandahålla valfrihetssystem

för funktioner för elektronisk identifiering,

att digitaliseringsmyndigheten i eLOV benämns den upphand-

lande myndigheten.

Utredningen bedömer att det är naturligt att en myndighet utför uppgiften att tillhandahålla valfrihetssystem för de övriga statliga myndigheternas, kommunernas och landstingens räkning. Detta går att åstadkomma med den modell som finns i dag, som bygger på att E-legitimationsnämnden agerar som ombud för de upphandlande myndigheterna. Ett annat sätt att angripa frågan på är att tilldela en

myndighet uppgiften att tillhandahålla valfrihetssystem för elektronisk

identitetskontroll.

Ett ombud agerar på uppdrag av annan och ska företräda dennes intressen enligt de instruktioner som ges.38 Instruktioner ges i form av en fullmakt, som kan vara såväl muntlig som skriftlig. När det gäller relationer mellan offentliga objekt brukar fullmakten vara i form av överenskommelser med angivande av hur ansvaret fördelas. Det kan finnas skriftliga fullmakter med mycket vidsträckt behörighet att företräda exempelvis ett bolag. Sådana fullmakter brukar kallas generalfullmakter. Uttrycket generalfullmakt förekommer inte i någon lagbestämmelse men används i praktiken för att beteckna att behörigheten är mycket omfattande. Något hinder att utrusta ett ombud med en sådan vidsträckt fullmakt finns inte.

Med dagens utformning av eLOV är det varje upphandlande myndighet som anordnar valfrihetssystem och överlåter åt E-legitimationsnämnden att i egenskap av ombud administrera dessa. På uppdrag av den upphandlande myndigheten tar E-legitimationsnämnden fram villkor och förhandlar med leverantörer. I förarbetena till eLOV betonades att E-legitimationsnämnden skulle företräda anslutna offentliga myndigheter som ombud.

Enligt modellen är det varje statlig myndighet, kommun eller landsting som ska betala den i valfrihetssystemet avtalade ersättningen till leverantören. E-legitimationsnämnden får ta ut avgifter från de upphandlande myndigheterna, men nämnden tar inte ut några sådana avgifter.39

Statliga myndigheter, kommuner eller landsting som ansluter sig till valfrihetssystem som E-legitimationsnämnden tillhandahåller kan inte påverka den närmare utformningen på valfrihetssystemet. Deras uppdrag till E-legitimationsnämnden liknar generalfullmaktens.

Eftersom en statlig myndighet, en kommun eller ett landsting inte har möjlighet att påverka det närmare innehållet i valfrihetssystemet bedömer utredningen att det finns anledning att ifrågasätta om det finns behov av att etablera en sådan ombudsrelation, eller om det går att hitta andra sätt att reglera ansvar och rollfördelning.

Ett exempel på en situation där staten har beslutat att en viss myndighet ska stödja andra myndigheter är Statens servicecenters

38 Jfr om rättegångsombud i NJA II 1943 s. 151, där det bl.a., framgår att en part blir bunden av de processhandlingar som ett ombud företar under förutsättning att dessa ligger inom fullmaktens gränser. Jfr också 2 kap. 10 § lagen (1915:218) om avtal och andra rättshandlingar på förmögenhetsrättens område. 395 § förordningen (2010:1497) med instruktion för E-legitimationsnämnden.

ansvar för att tillhandahålla tjänster som gäller administrativt stöd åt statliga myndigheter.40 Statens servicecenter tillhandahåller bl.a. lönerelaterade tjänster. Regeringen gav i regleringsbrevet41 för 2016 Statens servicecenter i uppdrag att redovisa en uppdaterad plan för vilka myndigheter som planeras att anslutas till de lönerelaterade tjänsterna 2017 och 2018.42 Regeringen har vidare beslutat att vissa myndigheter ska ansluta sig till de lönerelaterade tjänster som Statens servicecenter ansvarar för.43 Här har regeringen alltså styrt vissa statliga myndigheter till att använda de lönerelaterade tjänster som Statens servicecenter tillhandahåller. I promemorian som föregick förordningen konstaterades följande:

I de lönerelaterade bastjänster som tillhandahålls av Statens servicecenter ingår handläggande uppgifter, kundsupport och tillgång till systemstöd, inklusive drift, underhåll och förvaltning. I systemstödet ingår upphandling och införande av nya systemstöd samt viss utbildning av personal. Myndigheterna behöver således inte ha egen personal för hantering av dessa uppgifter, och inte heller ha egna licenser eller avtal om systemstöden. Myndigheterna behöver dock utföra vissa moment, såsom leverans av löneunderlag samt uppföljning av tjänsteleveranser. Enligt bestämmelserna i myndighetsförordningen ansvarar varje myndighet inför regeringen för verksamheten och för att den bedrivs effektivt och enligt gällande rätt. Dessa bestämmelser innebär att Statens servicecenter är ansvarigt för att de tjänster som tillhandahålls myndigheterna är effektiva och att de myndigheter som ansluter sig till tjänsterna är ansvariga för att t.ex. korrekta uppgifter ges till servicecentret och för att följa upp tjänsteleveranser. Den närmare ansvarsfördelningen mellan Statens servicecenter och anslutande myndigheter bestäms i de enskilda överenskommelserna, där även formerna för samverkan rörande bl.a. intern styrning och kontroll regleras. Det är Statens servicecenters och de anslutande myndigheternas gemensamma ansvar att se till att överenskommelserna blir ändamålsenligt utformade. En central uppföljning och utvärdering av anslutningarna bör dock ske i ett senare skede.44

40 1§ förordningen (2012:208) med instruktion för Statens servicecenter. 41 Regleringsbrev för budgetåret 2016 för Statens servicecenter, Fi 2015/05652/RS. 42 Regeringen har uttalat att styrningen av anslutningen av myndigheter till Statens servicecenter behöver stärkas. Regeringen har därför aviserat att anslutningen till Statens servicecenters lönerelaterade bastjänster ska förordningsregleras. Syftet är att påskynda arbetet med att effektivisera statens administrativa stödverksamhet och skapa ett ökat fokus på myndigheternas kärnverksamhet, prop. 2015/16:1 utg. omr. 2, s. 53. 431 § förordningen (2015:665) om statliga myndigheters användning av Statens servicecenters tjänster. 44 Myndigheters användning av Statens servicecenters tjänster, Finansdepartementet Avdelningen för offentlig förvaltning, april 2015, s. 10 f.

Den konstruktion som regeringen valt för Statens servicecenter innefattar såvitt utredningen kan bedöma inte att Statens servicecenter anses vara ombud i relation till de myndigheter som regeringen beslutat ska ansluta sig till de lönerelaterade tjänsterna. Där handlar det i stället om att Statens servicecenter tillhandahåller de lönerelaterade tjänsterna åt myndigheterna.

Utredningen har analyserat E-legitimationsnämndens roll som ombud för upphandlande myndigheter i förhållande till utredningens förslag om att statliga myndigheter, kommuner och landsting ska ansluta sig till valfrihetssystem i fråga om funktioner för elektronisk identifiering. Utredningen bedömer att förslagen sammantagna också ändrar sättet att betrakta rollfördelningen. Genom utredningens förslag har statliga myndigheter, kommuner och landsting inte längre beslutanderätt när det gäller frågan om de ska anordna valfrihetssystem. Därmed är det enligt utredningens bedömning inte längre fråga om att digitaliseringsmyndigheten45 ska vara ombud för de statliga myndigheterna, kommunerna och landstingen eftersom ombudsförhållanden bygger på frivillig tilldelning av uppgifter.

Utredningen föreslår att digitaliseringsmyndigheten ska vara avtalspart i relation till leverantörerna. Utredningen menar att detta förslag inte medför någon ändring i sak av vad E-legitimationsnämnden gör i dag och vad den framtida digitaliseringsmyndigheten ska göra när den tar över E-legitimationsnämndens uppgifter. Förslaget syftar endast till att beskriva rollfördelningen i valfrihetssystem och inte till att ändra sättet som trafiken med frågor och identitetsintyg flödar. Avsikten med förslagen är alltså inte att digitaliseringsmyndigheten ska inträda som mellanhand i trafiken mellan leverantör och förlitande aktör.

Förslaget ska därtill kopplas samman med utredningens förslag om lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Utredningen föreslår i kapitel 14 att digitaliseringsmyndigheten bl.a. ska tillhandahålla ett register med utfärdare och förlitande aktörer. Registret skapar förutsättningar för att trafiken – alltså frågan om en användares identitetsuppgifter och svaret i form av identitetsintyget – flödar på ett korrekt sätt. Det blir digitaliseringsmyndigheten som ska bestämma vill-

45 Enligt direktiv 2017:117 ska E-legitimationsnämndens uppgifter tas över av den nya myndigheten för digitalisering av den offentliga verksamheten fr.o.m. den 1 september 2018.

koren för valfrihetssystemen. Utredningen bedömer att villkor bör kunna skapas som inriktas på hur trafiken mellan leverantör och förlitande aktör ska flöda, samt de närmare villkoren för ansvarsutkrävande till följd av fel i trafiken mellan förlitande aktör och leverantör.

I lagen kommer digitaliseringsmyndigheten att benämnas den upphandlande myndigheten, se emellertid utredningens förslag om översyn av eLOV.

13.6.4. Undantag från skyldigheten att ansluta sig

Utredningen föreslår:

att regeringen får besluta om undantag från skyldigheten för

statliga myndigheter, kommuner och landsting att ansluta sig till valfrihetssystem om det finns särskilda skäl.

Utredningen bedömer att det måste finnas möjlighet för statliga myndigheter, kommuner och landsting att undantas från skyldigheten att ansluta sig till valfrihetssystem som digitaliseringsmyndigheten tillhandahåller. Sådant undantag kan beviljas om det finns särskilda skäl. Utredningen bedömer att sådana särskilda skäl kan vara att den statliga myndigheten, kommunen eller landstinget är bunden av befintliga avtalsvillkor som gör att den inte kan ansluta sig till valfrihetssystem eller att den måste genomföra omfattande tekniska anpassningar av sina egna system innan den kan följa de villkor som gäller inom valfrihetssystem.

13.7. Ersättningsmodell

Utredningen föreslår:

att dagens ersättningsmodell för funktion för elektronisk identi-

tetskontroll ändras på så sätt att utfärdare av elektroniska identitetshandlingar ska fakturera Kammarkollegiet för det antal identitetsintyg som statliga myndigheter, kommuner och landsting har begärt inom ramen för valfrihetssystem.

att Kammarkollegiet tilldelas anslagsmedel för den ersättning som

ska betalas till leverantörer för statliga myndigheters, kommuners och landstings användning av funktion för elektronisk identitetskontroll.

I dag fakturerar leverantören varje månad respektive statlig myndighet, kommun eller landsting för det antal identitetsintyg som har förmedlats inom ramen för valfrihetssystem. Ersättningsmodellen bygger på en s.k. tickkostnad, dvs. att varje identitetsintyg ersätts med en viss, på förhand, angiven summa. Det har framkommit att detta sätt att fakturera är otympligt och ineffektivt för leverantörerna som dels måste veta mängden trafik som respektive statliga myndighet, kommun eller landsting har begärt, dels måste ha en faktureringsorganisation för detta. Modellen är även administrativt otymplig för de offentliga myndigheterna. Utredningen bedömer att det finns anledning att förenkla ersättningsmodellen.

Utredningen föreslår inte någon ändring i sättet som ersättningen ska beräknas. Däremot föreslår utredningen ändringar som tar sikte på hur leverantörer ska fakturera för de statliga myndigheternas, kommunernas och landstingens användning.

Utredningen menar att den ersättning som ska betalas för användning av den förvaltningsgemensamma funktionen för elektronisk identitetskontroll ska vara en förvaltningsgemensam utgift.

Utredningen föreslår att dagens ersättningsmodell för funktion för elektronisk identitetskontroll ändras på så sätt att leverantörer ska fakturera Kammarkollegiet för det totala antal identitetsintyg som statliga myndigheter, kommuner och landsting har begärt inom ramen för valfrihetssystem. Det innebär att de offentliga myndigheterna inte själva faktureras av leverantören, utan att leverantören ersätts av Kammarkollegiet. För leverantörerna medför det att de inte behöver analysera hur stor del av den totala användningen som en viss statlig myndighet, kommun eller landsting har stått för under en viss tid.

Kammarkollegiet har till uppgift att ansvara för bl.a. betalning av statens utgifter, om något annat inte följer av särskilda föreskrifter.46Utredningen bedömer att det är lämpligt att Kammarkollegiet har

465 § förordningen (2007:824) om instruktion för Kammarkollegiet. Ny lydelse av bestämmelsen träder i kraft den 1 januari 2018.

denna uppgift, trots att Kammarkollegiet inte är avtalspart. Utredningen bedömer att denna uppgift bör rymmas inom Kammarkollegiets befintliga instruktionsenliga uppdrag. Kammarkollegiets uppgifter i denna del bör anslagsfinansieras.

13.8. Krav på kvalitetsmärket Svensk elektronisk identitetshandling

Utredningen föreslår:

att det i upphandlingsdokumentet för valfrihetssystemet ska ingå

krav på att elektroniska identitetshandlingar ska ha kvalitetsmärket Svensk elektronisk identitetshandling för att utfärdaren ska få ansluta sig till valfrihetssystem.

Ett valfrihetssystem bygger på att en aktör uppställer vilka villkor som gäller för en viss vara eller tjänst och att den ekonomiska ersättningen är bestämd på förhand. Alla leverantörer som uppfyller villkoren ska godtas. I eLOV beskrivs att den upphandlande myndigheten ska annonsera valfrihetssystem på en nationell webbplats samt att där ska såväl annonsen som upphandlingsdokumenten finnas.47Begreppet upphandlingsdokument i eLOV har samma betydelse som i LOU och avser varje dokument som en upphandlande myndighet använder för att beskriva eller fastställa innehållet i upphandlingen.48Med upphandlingsdokument menas bl.a. annonser om upphandling, förhandsannonser, tekniska specifikationer, förslag till kontraktsvillkor och upplysningar om allmänt tillämpliga skyldigheter samt eventuella kompletterande dokument.49

Utredningen kommer i det följande att beskriva vad som menas med kvalitetsmärket Svensk elektronisk identitetshandling. Kortfattat ska kvalitetsmärket Svensk elektronisk identitetshandling tjäna som en signal för individer om vilka elektroniska identitetshandlingar som har genomgått ett granskningsförfarande. Elektroniska identitetshandlingar innehåller uppgifter om individer som bör omgärdas av krav på säkerhet. Kvalitetsmärket syftar till att säkerställa

47 4 § eLOV. 48 1 kap. 23 § LOU. 49Prop. 2015/16:195 s. 944.

detta. En kvalitetsmärkning medför emellertid inte att en utfärdare får sälja elektronisk identitetskontroll till offentliga myndigheter. Om kvalitetsmärket ska fylla det syfte som utredningen avser måste det finnas en koppling mellan det sätt som utredningen bedömer att statliga myndigheter, kommuner och landsting ska anvisas för anskaffning av funktion för elektronisk identitetskontroll och kvalitetsmärket.

Utredningen har övervägt olika alternativ. Ett alternativ är att kvalitetsmärket endast skulle avse de elektroniska identitetshandlingar som finns i valfrihetssystem. Det alternativet har emellertid utredningen valt bort eftersom det kan hända att det finns utfärdare som inte riktar sin verksamhet alls mot den offentliga sektorn, men som ändå vill erbjuda sina kunder en kvalitetsmärkt elektronisk identitetshandling.

Utredningen föreslår i stället att digitaliseringsmyndigheten i upphandlingsdokumenten ska ställa krav på att leverantörer som ansluter sig ska ha kvalitetsmärket Svensk elektronisk identitetshandling för att få delta. Någon ändring i lagtexten bedöms inte vara nödvändig för genomförandet av detta förslag.

13.9. Rättslig översyn av eLOV

Utredningen föreslår:

att regeringen låter göra en rättslig översyn av eLOV.

Välfärdsutredningen uttalade i sitt betänkande Ordning och reda i välfärden att anordnande av valfrihetssystem är en form av auktorisationssystem som kan utformas mer fristående från de detaljerade krav som upphandlingsdirektiven uppställer. Därför föreslog Välfärdsutredningen en ny lag om valfrihetssystem som skulle ersätta LOV och att terminologin och strukturen tydligare skulle anpassas till att det är fråga om nationell lagstiftning och inte en upphandlingslagstiftning.50 Tilldelning av kontrakt inom ramen för ett valfrihetssystem omfattas alltså inte av upphandlingsdirektivens defini-

50SOU 2016:78, Välfärdsutredningen, s. 583.

tion av offentlig upphandling, men omfattas av de allmänna upphandlingsrättsliga principerna.

Utredningen bedömer att förståelsen av de olika sätten att anskaffa funktioner för elektronisk identitetskontroll skulle underlättas om lagstiftaren valde att betona att det i eLOV är fråga om nationell lagstiftning. På samma sätt som föreslagits för LOV behöver terminologin i eLOV ses över, bl.a. kallas den myndighet som tillhandahåller valfrihetssystem för den upphandlande myndigheten. En sådan begreppsanvändning kan leda tanken fel.

Utredningen vill dessutom uppmärksamma frågan om förslaget att digitaliseringsmyndigheten ska anordna valfrihetssystem i fråga om funktioner för elektronisk identifiering och att offentliga myndigheter ska ansluta sig till detta medför att upphandling enligt LOU är utesluten för elektronisk identitetskontroll.

Oavsett om en offentlig myndighet upphandlar enligt LOU eller anordnar ett valfrihetssystem så syftar själva anskaffningen till att lösa frågan hur aktören ska gå till väga för att köpa den beskrivna funktionen. Av EU-domstolens praxis följer att ett auktorisationsförfarande inte omfattas av upphandlingsregelverket om det innebär att avtal ingås med alla leverantörer som önskar leverera de berörda varorna/ tjänsterna på de villkor som angetts och något annat urval inte görs.51I förarbetena till eLOV uttalade regeringen att det inte borde finnas hinder för myndigheter som inrättat valfrihetssystem att upphandla tjänster för elektronisk identifiering på annat sätt eller tilläggstjänster för specifika behov. Mot den bakgrunden bedömer utredningen att förslaget om obligatorisk anslutning till valfrihetssystem för offentliga myndigheter inte torde utesluta att en upphandling av samma typ av funktion också skulle vara möjlig att genomföra enligt reglerna i LOU.

De nu förda resonemangen tyder ändå på att det är otydligt hur eLOV ska tolkas i förhållande till upphandlingslagstiftningen. Sådan otydlighet inverkar på samtliga inblandade aktörer och bidrar till att området blir svårt att omfamna. Utredningen föreslår därför att regeringen låter göra en rättslig översyn av eLOV. I det sammanhanget är det också lämpligt att bedöma om alla valfrihetssystem kan samlas i en och samma lag.

51 Falk Pharma, C-410/14.

14. En infrastruktur för elektronisk identifiering

14.1. Dagens reglering

Det finns i dag två författningar som reglerar elektronisk identifiering; lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (eLOV) och instruktionen för E-legitimationsnämnden.1 E-legitimationsnämnden inrättades den 1 januari 2011. eLOV trädde i kraft 2013. Utredningen har tidigare beskrivit eLOV och de valfrihetssystem som E-legitimationsnämnden har anordnat.

Utredningen om bildande av en E-legitimationsnämnd föreslog i sitt betänkande,2 utöver eLOV och instruktion för E-legitimationsnämnden, också en förordning om infrastruktur för Svensk e-legitimation. Denna förordning infördes aldrig.

E-legitimationsnämnden ska enligt sin instruktion stödja och samordna elektronisk identifiering och underskrift i den offentliga förvaltningens e-tjänster.3 Efter överenskommelse med upphandlande myndigheter ska E-legitimationsnämnden tillhandahålla och administrera valfrihetssystem samt upprätta och driva en nationell webbplats för annonsering av valfrihetssystem.4 Nämnden har även uppdrag inom området elektronisk identifiering enligt eIDAS-förordningen och ansvarar bl.a. för den svenska eIDAS-noden.5

1 Det finns också andra myndigheter som har uppdrag inom området. Post- och telestyrelsen har tillsynsansvar för e-underskrifter och andra betrodda tjänster enligt eIDAS-förordningen och erbjuder vägledning inom samma område, förordningen (2007:951) med instruktion för Post- och telestyrelsen. 2SOU 2010:104, E-legitimationsnämnden och Svens e-legitimation. 3 Förordningen (2010:1497) med instruktion för E-legitimationsnämnden. 4 4 § eLOV. 51 b § förordningen (2010:1497) med instruktion för E-legitimationsnämnden.

E-legitimationsnämndens instruktion ger nämnden ett brett mandat att stödja och samordna elektronisk identifiering och underskrift i den offentliga förvaltningens e-tjänster. E-legitimationsnämnden beslutade 2015 om följande vision och mål för sitt arbete.6

Visionen är att: – Svensk e-legitimation gör det enkelt och säkert för medborgare

och anställda att använda e-tjänster i offentlig förvaltning och privat sektor, – Svensk e-legitimation har ett högt förtroende och är utvecklings-

bar.

Målen är: – att bidra till utveckling och användning av flera e-tjänster i sam-

hället, – flera utfärdare av svensk e-legitimation, – att villkoren är transparenta, förutsägbara och kostnadseffektiva, – att övergången från dagens lösning till svensk e-legitimation är

smidig.

På senare år har E-legitimationsnämnden beskrivit om följande mål för sitt arbete:7– Alla ska kunna få tillgång till säkra e-legitimationer som är enkla

att använda. – Det ska vara enkelt och säkert för digitala tjänster att inkludera

e-legitimation och e-underskrift. – Det ska vara kostnadseffektivt för offentlig sektor med e-legiti-

mation och e-underskrift.

6 Årsberättelse för 2015 E-legitimationsnämnden, 2016-02-22, dnr 131-101941-16/9516. 7 E-legitimationsnämndens rapport ”Fortsatt försörjning av tjänster för e-legitimering och eunderskrift”, 2016-10-15, dnr 131645711-15/9513.

E-legitimationsnämnden saknar föreskriftsrätt men har med stöd av 4 § myndighetsförordningen meddelat föreskrifter för sin verksamhet. Av föreskrifterna8 framgår följande.

I dessa föreskrifter menas med infrastrukturen för Svensk e-legitimation: den infrastruktur för elektronisk identifiering som E-legitimationsnämnden styr och förvaltar, och reglerna för Svensk e-legitimation: de regler för Svensk e-legitimation som E-legitimationsnämnden förvaltar.

Det saknas författningar som närmare anger vad som ska tas fram inom ramen för exempelvis E-legitimationsnämndens uppgift att stödja och samordna e-legitimering och elektronisk underskrift i den offentliga förvaltningen e-tjänster.

E-legitimationsnämnden tar i dag fram ett tillitsramverk och tekniska specifikationer, baserade på internationella standarder. E-legitimationsnämnden granskar elektroniska identitetshandlingar och tilldelar sådana elektroniska identitetshandlingar som överensstämmer med tillitsramverket kvalitetsmärket Svensk e-legitimation. Ingen av dessa uppgifter framgår uttryckligen av instruktionen. Det är emellertid svårt att utifrån författningsregleringen förstå hur de olika uppgifterna förhåller sig till varandra. Exempelvis är det otydligt vilken roll kvalitetsmärket har för marknadens aktörer.

Utredningen bedömer att när det gäller elektronisk identifiering finns det ett stort behov av regelverk. Detta gäller inte bara tekniska regelverk, som beskriver hur system ska överföra budskap till varandra och som är en absolut förutsättning för digital kommunikation, utan också en författningsreglering som beskriver ansvar och uppgifter samt organisatoriska frågor. Utredningen bedömer vidare att det är viktigt med en sammanhållen syn på vad det offentliga åtagandet omfattar.

14.2. Många initiativ, men vart är vi på väg?

Utredningen bedömer:

att det finns många pågående initiativ som utan tydlig styrning

riskerar att bli kontraproduktiva.

8 E-legitimationsnämndens föreskrifter IFS 2014:1.

Det finns många pågående initiativ när det gäller elektroniska identitetshandlingar i samhället. De privata aktörerna, med BankID i täten, har tagit ett stort ansvar för att säkra att den svenska befolkningen har tillgång till elektroniska identitetshandlingar som kan användas i hela den offentliga förvaltningen. Utredningen kan konstatera att vissa initiativ är samordnade medan andra ger intryck av att vara ovetande om varandra. Den bild som presenteras nedan har föranlett utredningens slutsats att det finns behov av att peka ut vilka delar som ska vara föremål för det offentliga åtagandet.

14.2.1. Kvalitetsmärket Svensk e-legitimation

Svensk e-legitimation är ett kvalitetsmärke för e-legitimationer. Utredningen använder i detta avsnitt begreppet e-legitimation eftersom kvalitetsmärket i dag heter Svensk e-legitimation. Angående begreppet Svensk e-legitimation se kapitel 10 och kapitel 14.3.5. Kvalitetsmärket visar att en e-legitimation är kontrollerad och godkänd av E-legitimationsnämnden. E-legitimationen prövas mot ett nationellt tillitsramverk som baserar sig på internationell standard. Tanken är att en e-legitimation med kvalitetsmärket Svensk e-legitimation ska gå att lita på för offentliga och privata aktörer med e-tjänster som kräver elektronisk identifiering. Även användare kan känna sig trygga med att en e-legitimation märkt Svensk e-legitimation är en säker identitetshandling.

Den utfärdare som vill få kvalitetsmärket på sin e-legitimation får ansöka om att bli granskad av E-legitimationsnämnden. En central del i E-legitimationsnämndens granskning är att fastställa att en e-legitimation håller den tillitsnivå, dvs. den grad av säkerhet och tillförlitlighet, som e-legitimationen utlovar.

I E-legitimationsnämndens tillitsramverk beskrivs vilka krav som ställs på en e-legitimation från tillitsnivå 2 och uppåt. Granskningen omfattar inte bara den tekniska arkitekturen, utan även utfärdarens finansiella stabilitet, informationssäkerhetsarbete och intern kontroll, process för identifiering av personer som ansöker om att få en e-legitimation samt framställande och tillhandahållande av e-legitimationer. Ett grundläggande krav är att ingen individ ska kunna tillverka en elegitimation på egen hand hos utfärdaren.

I dag finns det två godkända kvalitetsgranskade elektroniska identitetshandlingar, Huddinge kommun på tillitsnivå 3 och AB Svenska

Pass på tillitsnivå 4. Den elektroniska identitetshandling som Huddinge kommun har tagit fram är avsedd att tillmötesgå behov av att utfärda elektroniska identitetshandlingar till tjänstemännen i kommunen. Den elektroniska identitetshandling som AB Svenska Pass tillhandahåller har Skatteverket upphandlat och den finns på de identitetskort för folkbokförda i Sverige som Skatteverket utfärdar. Den elektroniska identitetshandlingen fungerar dock inte ännu i alla myndigheters e-tjänster.9

14.2.2. Mer om elektroniska identitetshandlingar på den svenska marknaden

BankID

BankID är den mest förekommande lösningen för elektronisk identifiering i Sverige.10 BankID finns som tre olika lösningar; mobilt BankID, BankID på fil och BankID på kort.

Mobilt BankID innebär att användaren har sin elektroniska iden-

titetshandling i en mobiltelefon eller surfplatta. För att kunna hämta och använda mobilt BankID krävs att användaren har installerat BankID-appen. BankID på fil är en elektronisk identitetshandling i en dator. För att kunna hämta och använda BankID på fil krävs att användaren har installerat BankID-programmet. BankID på kort är en elektronisk identitetshandling som är lagrad på ett s.k. smartkort.11Förutom kortet och BankID-programmet krävs även att man har en kortläsare.

Det finns i dag elva banker som utfärdar BankID.12 Vilka lösningar som de olika bankerna erbjuder sina kunder skiljer sig åt mellan bankerna.

Danske Bank, Nordea och Swedbank utfärdar alla tre BankIDlösningar, alltså BankID på fil, på kort och mobilt BankID.

Handelsbanken och SEB utfärdar BankID på kort och Mobilt BankID.

9 www.skatteverket.se, 2017-12-09. 10 90 procent av befolkningen i åldrarna 20–40 år har minst ett BankID, med Mobilt BankID som dominerande bärar e, www.bankid.com, 2017-12-09. 11 Ett smartkort är ett kort som är försett med ett chip på vilket elektronisk information kan lagras. 12 Danske Bank, Nordea, Swedbank, Handelsbanken, SEB, Ica Banken, Ålandsbanken, Ikano Bank, Länsförsäkringar, Skandia och Sparbanken, www.bankid.com, 2017-12-08.

Ica Banken och Ålandsbanken utfärdar endast mobilt BankID medan Ikano Bank endast utfärdar BankID på fil.

Länsförsäkringar, Skandia och Sparbanken syd utfärdar BankID på fil och mobilt BankID.13

Bankerna stöds av företaget Finansiell ID-teknik BID AB (i det följande Finansiell ID-teknik). Finansiell ID-teknik bildades 2002. Innan företaget bildades hade de stora bankerna i Sverige inlett ett arbete i ett bankkonsortium. Syftet med det arbetet var att ta fram en generell infrastruktur för elektroniska identitetshandlingar, som skulle uppfylla krav från myndigheter och banker och kunna accepteras av allmänhet och företag.14

AB Svenska Pass

Skatteverkets identitetskort för folkbokförda i Sverige innehåller en elektronisk identitetshandling som från och med september 2017 utfärdas av AB Svenska Pass.

Telia

Telia utfärdar också elektronisk identitetshandling som kan användas av individer för elektronisk identifiering mot bl.a. e-tjänster.15 Fram till hösten 2017 var det Telias elektroniska identitetshandling som fanns på Skatteverkets identitetskort för folkbokförda i Sverige.

Freja eID

Företaget Verisec utfärdar en elektronisk identitetshandling som heter Freja eID.16 Enligt uppgift från E-legitimationsnämndens kansli har Freja eID ansökt om att bli granskade av E-legitimationsnämnden och granskningen pågår.

13 www.bankid.com, 2017-12-08. 14 www.bankid.com, 2017-12-08. 15 www.telia.se, 2017-12-09. 16 www.verisec.com/sv/autentisering/frejaeid/, 2017-12-09.

Fler pågående aktiviteter

Utöver det som beskrivits i det föregående kan utredningen konstatera att följande aktiviteter identifierats under utredningens arbete.

  • Försäkringskassan kommer under 2018 att lansera mobila e-legitimationer till offentliganställda kopplat till Myndighets CA (MCA) för användning i tjänsten.
  • Försäkringskassan och Inera AB arbetar med att ta fram en ny gemensam funktion för elektroniska identitetshandlingar i tjänsten; E-identitet För Offentlig Sektor (EFOS).
  • Projektet SE-leg, som drivs av SUNET.

14.3. Lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling

Utredningen bedömer:

att det arbete som E-legitimationsnämnden gjort för att ta fram

tillitsramverk och tekniska specifikationer, liksom kvalitetsmärkning av elektroniska identitetshandlingar, är sådant som bör lyftas upp och författningsregleras samt

att det finns andra framtida funktioner som också bör författ-

ningsregleras.

Utredningen föreslår:

att funktionerna ska regleras i lag och att den myndighet som

regeringen bestämmer ska ansvara för att dessa funktioner förvaltas och utvecklas.

Förslaget genomförs genom lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.

Tekniken utvecklas hela tiden, liksom sättet att använda sig av de tekniska hjälpmedel som finns. En utmaning vid författningsreglering är därför att hålla författningstexter så teknikneutrala som möjligt. Utredningen bedömer att det är viktigt att inte låsa författningstexten

vid en viss teknik, samtidigt som det är viktigt att författningsreglera sådana funktioner som ska vara ett offentligt åtagande. Utgångspunkter för utredningens förslag är att de ska vara tillåtande, gränssättande och skapa förutsättningar för utveckling, men också ramar för vad som gäller för de olika inblandade aktörerna.

Uppgifter i lag, inte i instruktion

Utredningen har tidigare konstaterat att flera av de uppgifter som Elegitimationsnämnden i dag utför, inte framgår uttryckligen av nämndens instruktion. Utredningen bedömer att förekomsten av tillitsramverk och tekniska specifikationer borgar för transparens i förhållande till aktörerna på marknaden. Det bör därför framgå av lag att dessa funktioner ska finnas, liksom att det är ett statligt ansvar att tillhandahålla dem. Utredningen bedömer därför att det arbete som E-legitimationsnämnden utfört för att ta fram tillitsramverk och tekniska specifikationer, liksom kvalitetsmärkning av elektroniska identitetshandlingar, bör författningsregleras.

Vilka funktioner

Utredningen har ovan bedömt att lagen huvudsakligen ska peka ut vilka funktioner som staten bör ta ansvar för att tillhandahålla, samt vem som ska ansvara för dessa. De funktioner som utredningen bedömer att lagen ska omfatta är tillitsramverket och tekniska specifikationer för elektroniska identitetshandlingar, kvalitetsmärket Svensk elektronisk identitetshandling, ett register med utfärdare av elektroniska identitetshandlingar som har kvalitetsmärket samt en funktion med valbara elektroniska identitetshandlingar.

Ansvar för att utveckla och förvalta funktionerna

Av direktiven till organisationskommittén framgår att regeringen avser att föra över E-legitimationsnämndens verksamhet till den nya myndigheten för digitalisering av den offentliga sektorn. 17 Detta över-

17 Dir. 2017:117.

ensstämmer med det förslag som utredningen tidigare lämnat. Vad utredningen här föreslår innebär ingen förändring av myndighetsuppdraget.

14.3.1. Begrepp

Utredningen bedömer:

att begrepp som används för att beskriva elektronisk identifiering

och vilka aktörer som är inblandade måste vara enhetliga.

Utredningen föreslår:

att det i lagen förs in en begreppslista.

Det förekommer många olika begrepp i sammanhang med elektronisk identifiering. Det är också många olika yrkeskategorier som ska tolka och förstå de begrepp som avses. Med en begreppslista i lag menar utredningen att det skapas en större tydlighet för samtliga inblandade aktörer. De begrepp som utredningen bedömer ska ingå i lagen, med begreppsförklaringar är:

1. användare: den som har en elektronisk identitetshandling,

2. elektronisk identitetshandling: en värdehandling som en användare

kan använda för att identifiera sig elektroniskt,

3. fysisk bärare: en fysisk identitetshandling, en koddosa eller

liknande,

4. mobil bärare: exempelvis en smarttelefon eller en surfplatta,

5. förlitande aktör: den som behöver verifiera en användares upp-

gifter vid identifiering mot en e-tjänst,

6. utfärdare: den som utfärdar en elektronisk identitetshandling till

en användare,

7. tillitsramverk: ett graderat ramverk för tillförlitlighet i utfärdade

elektroniska identitetshandlingar,

8. tillitsnivå: en nivå inom tillitsramverket,

9. tekniska specifikationer: tekniska krav som ställs på en elektronisk

identifiering,

10. modell för dialogruta med valbara elektroniska identitetshandlingar:

gruppering av elektroniska identitetshandlingar som har kvalitetsmärket Svensk elektronisk identitetshandling och som presenterar dessa i en dialogruta för användaren när denne ska identifiera sig elektroniskt.

14.3.2. Tillitsramverk

Utredningen bedömer:

att ett tillitsramverk som är gemensamt för offentliga och privata

aktörer skapar förutsättningar för säkra och tillförlitliga elektroniska identitetshandlingar.

Utredningen föreslår:

att det i lag anges att det ska finnas ett tillitsramverk samt att digitaliseringsmyndigheten ges i uppgift att förvalta och ut-

veckla tillitsramverket.

En elektronisk identitetshandling ska vara utformad, skyddas och användas enligt en viss tillitsnivå. Utfärdare av elektroniska identitetshandlingar ska tillämpa sådana regler och rutiner att det utifrån tillämplig tillitsnivå finns fog för att lita på de elektroniska identitetshandlingar som tillhandahålls. E-legitimationsnämnden tar i dag fram ett tillitsramverk för elektroniska identitetshandlingar. Tillitsramverket och de tekniska specifikationerna utformas med beaktande av internationellt framtagna standarder. Det bör ankomma på digitaliseringsmyndigheten att säkerställa att det finns ett tillitsramverk samt att detta är följsamt med de standarder och utvecklingen i övrigt samt de hot och risker som kan uppkomma på området. Utredningen bedömer att förekomsten av ett tillitsramverk ska regleras i lag. Den närmare utformningen av tillitsramverket, dvs. utvecklingen och förvaltningen av tillitsramverket ska lämnas till digitaliseringsmyndigheten.

14.3.3. Tekniska specifikationer

Utredningen föreslår:

att det i lag ska anges att det ska finnas tekniska specifikationer

för elektronisk identitetskontroll, dvs. identitetsintyg kopplade till användning av elektroniska identitetshandlingar, samt

att digitaliseringsmyndigheten ges i uppdrag att utveckla och

förvalta sådana tekniska specifikationer.

Elektronisk identitetskontroll kräver att utfärdare av elektroniska identitetshandlingar och förlitande aktörer samverkar. Ju enhetligare sätt att angripa elektronisk identitetskontroll på, desto högre grad av effektivitet skapas. Utredningen bedömer att det är lämpligt att en myndighet ansvarar för att ta fram tekniska specifikationer som gäller för elektronisk identitetskontroll på marknaden. Detta i syfte att underlätta för samtliga aktörer, alltså för såväl utfärdare som förlitande aktörer.

Liksom för tillitsramverket ska de tekniska specifikationer som tas fram vara följsamma mot väletablerade standarder och utvecklingen i övrigt samt de hot och risker som kan uppkomma på området. De tekniska specifikationerna ska också utformas på så sätt att regler om regler om personuppgiftshantering beaktas.

Utredningen bedömer att förekomsten av tekniska specifikationer ska regleras i lag. Den närmare utformningen av de tekniska specifikationerna, dvs. förvaltningen och utvecklingen av dem ska lämnas till digitaliseringsmyndigheten.

14.3.4. Kvalitetsmärket Svensk elektronisk identitetshandling

Utredningen bedömer:

att individer måste ges bättre möjligheter att kunna avgöra vilka

elektroniska identitetshandlingar som är säkra och tillförlitliga,

att en kvalitetsmärkning av elektroniska identitetshandlingar kan

bidra till att individer lättare kan välja bland flera utfärdare.

Utredningen föreslår:

att staten ska ansvara för att granska elektroniska identitetshand-

lingar mot tillitsramverket och elektronisk identitetskontroll mot de tekniska specifikationerna.

att det i lag anges att det ska finnas ett kvalitetsmärke för elek-

troniska identitetshandlingar som heter Svensk elektronisk identitetshandling,

att digitaliseringsmyndigheten ges i uppgift att kvalitetsgranska

elektroniska, samt

att digitaliseringsmyndigheten ges i uppgift att marknadsföra

kvalitetsmärket.

Kvalitetsmärket heter i dag Svensk e-legitimation. Utredningen har som tidigare beskrivits valt att använda begreppet elektronisk identitetshandling. Eftersom utredningen konsekvent förhåller sig till begreppet elektronisk identitetshandling i beskrivningen av förslagen, ska ett kvalitetsmärke inte heta Svensk e-legitimation. Utredningen föreslår att kvalitetsmärket ska heta Svensk elektronisk identitetshandling.

Utredningen har tidigare beskrivit att det finns en spretighet på marknaden för elektroniska identitetshandlingar. Vissa elektroniska identitetshandlingar, de som AB Svenska Pass och Huddinge kommun, utfärdar är kvalitetsmärkta. Andra, som BankID, är inte kvalitetsmärkta men har trots det en mycket hög andel användare.

Det är få utfärdare av elektroniska identitetshandlingar som låter sig granskas av E-legitimationsnämnden. Det beror sannolikt på en rad saker.

En anledning är att individer ännu inte frågar efter kvalitetsmärkta elektroniska identitetshandlingar. Kvalitetsmärket är sannolikt inte känt bland allmänheten, och vanan att använda sig av etablerade lösningar för elektronisk identifiering innefattar inte sådana elektroniska identitetshandlingar som är kvalitetsmärkta. BankID har som ovan beskrivits inte låtit sig granskas av E-legitimationsnämnden. Eftersom det redan finns en vana hos den svenska befolkningen att identifiera sig elektroniskt och anskaffa elektroniska identitetshandlingar som saknar kvalitetsmärket måste befolkningen uppmärksammas på vad kvalitetsmärkningen innefattar. Det måste skapas incitament hos individer att fråga efter elektroniska identitetshandlingar som har kvalitetsmärket.

En annan anledning är, enligt utredningen, att en granskning i sig inte leder till att den elektroniska identitetshandlingen kan användas hos statliga myndigheter, kommuner och landsting eller på den privata marknaden. Det finns ingen direkt koppling mellan att få kvalitetsmärket och att få sälja sin funktion till en viss målgrupp. En utfärdare av elektroniska identitetshandlingar kan alltså låta bli att låta sig granskas och kan ändå sälja sina funktioner för elektronisk identifiering till offentliga myndigheter, såväl inom ramen för valfrihetssystem enligt eLOV, som inom ramen för upphandlingsförfaranden enligt LOU.

Vad som nu beskrivits föranleder utredningen att dra slutsatsen att kvalitetsmärket i dag saknar status, både hos individer men också hos utfärdare av elektroniska identitetshandlingar. Slutsatsen kan föranleda olika åtgärder. Det första är givetvis ett ifrågasättande om det alls ska finnas något kvalitetsmärke för elektroniska identitetshandlingar i Sverige. Såsom regelverket ser ut i dag menar utredningen att det finns goda skäl att överväga det alternativet. Utredningen bedömer emellertid att det finns anledning att behålla och stärka kvalitetsmärket. Skälen till det är följande.

En elektronisk identitetshandling är en värdehandling. Den används för att visa en individs identitet elektroniskt, utan att individen behöver visa upp sin person. Hela det digitala samhället bygger på att inblandade aktörer kan lita på att individer är de som de utger sig för att vara elektroniskt. En elektronisk identitetshandling kan ses som en elektronisk urkund om den har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt.18

Mot den bakgrunden är det viktigt att de elektroniska identitetshandlingar som utfärdare tillhandahåller är säkra och tillförlitliga. Det är också viktigt att individer vet vilka elektroniska identitetshandlingar, och vilka utfärdare, som de kan lita på. Detsamma gäller för förlitande aktörer. Kvalitetsmärket kan tjäna sådana syften.

18 Jfr 14 kap. 1 § brottsbalken (1962:700): En elektronisk handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt. Härmed avses enligt propositionen att angivelsen ska ha en inte obetydlig grad av säkerhet, vilket i nuvarande skede i it-utvecklingen anges innebära att den elektroniska underskriften uppfyller kraven på kvalificerade eller avancerade signaturer i lagen (2000:832) om kvalificerade elektroniska signaturer (prop. 2012/13:74 s. 45). Lagen om kvalificerade elektroniska signaturer upphävdes den 1 juli 2016 och ersattes av lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, se prop. 2015/16:72.

Utredningen anser därför att kvalitetsmärket tjänar ett angeläget syfte i det digitala samhället, och i synnerhet för den digitala offentliga förvaltningen. Därför föreslår utredningen att kvalitetsmärket och uppgiften att utfärda detta författningsregleras i den nu föreslagna lagen.

Ansökan

Utredningen föreslår att digitaliseringsmyndigheten ska granska elektroniska identitetshandlingar. Granskningen ska göras mot såväl tillitsramverket som de tekniska specifikationerna. En elektronisk identitetshandling som motsvarar de krav som ställs får som tillägg till sitt eget namn använda kvalitetsmärket Svensk elektronisk identitetshandling.

Det är i dag E-legitimationsnämnden som efter ansökan prövar elektroniska identitetshandlingar mot tillitsramverket. Det framgår inte av E-legitimationsnämndens instruktion att nämnden har denna uppgift. Utredningen bedömer att det är lämpligt att det i den föreslagna lagen också regleras att ansökan om att få kvalitetsmärket ska göras hos den myndighet som regeringen bestämmer. På så sätt regleras inte bara att det ska finnas ett kvalitetsmärke, utan också att det finns en statlig myndighet som har ansvar för att tilldela elektroniska identitetshandlingar detta.

Utredningen menar att prövningen ska göras mot tillitsramverket vilket innebär att elektroniska identitetshandlingar på samtliga tillitsnivåer som tillitsramverket omfattar kan få kvalitetsmärket. Utredningen föreslår att prövningen också ska göras mot de tekniska specifikationer som tas fram. Det blir en skillnad i förhållande till i dag när prövningen endast görs mot tillitstramverket. Utredningen menar emellertid att det på detta sätt blir tydligare för såväl leverantörer som förlitande aktörer vilken teknik som ska användas för de identitetsintyg som skickas på begäran av den förlitande aktören. Utredningen anser att det borde leda till en bättre förutsebarhet på marknaden för samtliga inblandade aktörer.

14.3.5. Register med utfärdare av elektroniska identitetshandlingar och förlitande aktörer

Utredningen föreslår:

att det i lagen anges att det ska finnas ett register med uppgift om

utfärdare av elektroniska identitetshandlingar med kvalitetsmärket Svensk elektronisk identitetshandling och förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktion för elektronisk identitetskontroll,

att digitaliseringsmyndigheten ges i uppgift att förvalta och utveckla

ett sådant register, samt

att den närmare regleringen av vilka uppgifter som ska finnas i

registret måste tas fram i samband med utvecklingen av registret.

Utredningen bedömer att det behövs ett register med de utfärdare av elektroniska identitetshandlingar som har kvalitetsmärket Svensk elektronisk identitetshandling och de förlitande aktörer som är anslutna till valfrihetssystem enligt eLOV. Ett sådant register kan bestå bl.a. av uppgifter om de anslutna aktörernas elektroniska adresser. Utredningen föreslår att digitaliseringsmyndigheten ska ges i uppgift att ta fram och förvalta ett sådant register. Registrets utformning, vilka uppgifter som behöver behandlas, vem som ska ges åtkomst till uppgifterna och hur åtkomsten ska regleras är frågor som bör ingå i uppgiften. Utgångspunkten bör vara att personuppgifter inte ska behandlas i registret. Undantag från den huvudregeln kan behöva göras för de som är ombud för aktörerna i registret. En annan utgångspunkt för registret bör vara att det inte ska innehålla information om den kommunikation som förekommer mellan användare och förlitande aktörer.

Utredningen lämnar inget förslag till reglering av personuppgiftsansvaret när det gäller detta register eftersom det förslag utredningen lämnar avser ett kommande register. Utredningen vill emellertid framhålla vikten av att ett register av detta slag förhåller sig till dataskyddsförordningen.19 Det måste alltså parallellt med utvecklingen av registret tas fram ett förslag om hur eventuella personuppgifter i det ska behandlas.

19 Förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behov av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

14.3.6. Modell för dialogrutor med valbara elektroniska identitetshandlingar

Utredningen bedömer:

att en individs användarupplevelse vid elektronisk identifiering

ska vara densamma, oavsett vilken offentlig myndighet som individen vill identifiera sig elektroniskt mot.

att det av användarupplevelsen ska framgå att individen identifierar sig för åtkomst till en e-tjänst.

Utredningen föreslår:

att det i lag anges att det ska finnas en modell för hur dialogrutor

för valbara elektroniska identitetshandlingar ska se ut, samt

att digitaliseringsmyndigheten ges i uppgift att utveckla och för-

valta modellen.

När individer använder e-tjänster hos olika myndigheter möts de av olika dialogrutor för att välja elektronisk identitetshandling. Hos Skatteverket och Försäkringskassan ser det ut på följande sätt:

Källa: www.forsakringskassan,se

Källa: www.skatteverket.se

Anledningen till att det ser olika ut är att varje myndighet själv bestämmer hur denna dialogruta ska se ut. Dessutom kan de olika alternativen för identifiering också skilja sig åt mellan myndigheterna eftersom det i dagsläget inte är samordnat vilka funktioner för elektronisk identifiering, alltså vilka elektroniska identitetshandlingar, som myndigheterna ska använda sig av. I Norge ser det ut som följer när en individ ska identifiera sig i e-tjänster i den offentliga förvaltningen.

Källa: www.altinn.no

Individer ska känna igen sig oavsett offentlig myndighet

Utredningen lämnar förslag om att alla offentliga myndigheter ska erkänna den statliga elektroniska identitetshandlingen, liksom att de ska ansluta sig till de valfrihetssystem som digitaliseringsmyndigheten anordnar. Därmed skapas förutsättningar för att offentliga myndigheter kommer att erbjuda individer samma valmöjligheter för elektronisk identifiering. De alternativ för elektronisk identifiering som därmed skapas bör erbjudas individer på ett för offentliga myndigheter ensat sätt. Utredningen bedömer att det är lämpligt att individer som ska använda sig av e-tjänster hos offentliga myndigheter får samma användarupplevelse, dvs. att de känner igen den dialogruta de möts av vid identifieringsmomentet och att samtliga valbara elektroniska identitetshandlingar visas för användaren på samma sätt. I denna dialogruta

för valbara elektroniska identitetshandlingar ska såväl den statliga elektroniska identitetshandlingen finnas som alternativet ”foreign eID” dvs. utländsk elektronisk identitetshandling. Det alternativet ska väljas av de användare som har en elektronisk identitetshandling som är anmäld för gränsöverskridande identifiering enligt eIDASförordningen.20 Därtill bedömer utredningen att alla de elektroniska identitetshandlingar som finns inom valfrihetssystem ska visas i dialogrutan.

Utredningen föreslår därför att digitaliseringsmyndigheten ska ta fram en modell för hur en dialogruta för valbara elektroniska identitetshandlingar21 ska se ut. Denna modell ska sedan kunna användas av offentliga myndigheter för att ta fram egna dialogrutor som ger förutsättningar för att individer får samma användarupplevelse oavsett vilken offentlig myndighet det handlar om. Det blir alltså digitaliseringsmyndighetens uppgift att ta fram modellen för dialogrutan, medan respektive offentlig myndighet ska ansvara för att tillhandahålla sin en dialogruta. Utredningen bedömer att det kan vara lämpligt att digitaliseringsmyndigheten verkar för att mindre offentliga myndigheter samverkar om framtagandet av dialogrutan.

Information om att en individ identifierar sig elektroniskt

Utredningen bedömer också att de dialogrutor för valbara elektroniska identitetshandlingar som tillhandahålls utifrån modellen ska innehålla information om att individen identifierar sig för att få komma åt en e-tjänst. Det är enligt utredningen viktigt att göra det tydligt för användare att de vid elektronisk identifiering faktiskt använder sig av en elektronisk identitetshandling. Som många dialogrutor är utformade i dag, inleds förfarandet med att användaren ska logga in.22 För användaren kan det innebära en otydlighet om användaren inte förstår att han eller hon använder sig av en elektronisk värdehandling. Därför är det enligt utredningen viktigt att offentliga myndigheters dialogruta för valbara elektroniska identitetshandlingar innehåller information

20 Dessa användare behöver en egen gemensam dialogruta där de får välja land och därefter dirigeras via den svenska noden för bekräftelse av identiteten. 21 Tidigare kallad anvisningstjänst. 22 https://computersweden.idg.se/2.2683/1.693238/e-id-varning?queryText=legitimering, 2017-11-27.

om att användaren identifierar sig genom att använda någon av de alternativa elektroniska identitetshandlingar som visas.

14.3.7. Skyldighet att använda dialogruta för valbara elektroniska identitetshandlingar

Utredningen föreslår:

att offentliga myndigheter som kräver att användare av e-tjänster

ska identifiera sig elektroniskt ska tillhandahålla en dialogruta för valbara elektroniska identitetshandlingar utifrån den modell för ändamålet som digitaliseringsmyndigheten tar fram,

att regeringen får besluta om undantag för en offentlig myndighet

att använda den modell för hur dialogrutor för valbara elektroniska identitetshandlingar ska se ut, om det finns särskilda skäl.

Modellen ska användas …

Utredningen bedömer att det är viktigt ur ett användarperspektiv att individer får samma upplevelse av dialogen att välja elektronisk identitetshandling oavsett vilken offentlig myndighet de vänder sig till. Utredningen har övervägt på vilket sätt offentliga myndigheter ska styras till att ensa användarupplevelsen av valbara elektroniska identitetshandlingar. Härvid har utredningen övervägt att reglera detta genom föreskriftsrätt eller lagstiftning. För att det ska få genomslag på alla offentliga myndigheter har utredningen kommit fram till att lagformen är den mest ändamålsenliga. Den betonar att det är fråga om att säkerställa att alla individer som ska identifiera sig mot offentliga myndigheter möts av samma dialogruta, i vilken de elektroniska identitetshandlingar som finns inom ett valfrihetssystem presenteras, liksom den statliga elektroniska identitetshandlingen.

Utredningen har vidare övervägt hur en bestämmelse för offentliga myndigheter ska utformas. Härvid kan konstateras att en bestämmelse kan skilja sig åt beroende på om det avser en statlig myndighet, en kommun eller ett landsting. Exempelvis skulle det kunna regleras att statliga myndigheter ska använda modellen, medan kommuner och landsting får använda den. En sådan utformning påminner då om det sätt som utredningen föreslår att statliga myndigheter, kommuner

och landsting ska respektive får ansluta sig till infrastrukturen för Mina meddelanden. Bestämmelsen skulle också kunna utformas utifrån hur stor volym en statlig myndighet, en kommun eller ett landsting står för när det gäller elektronisk identifiering. Det är då tänkbart att utforma regelverket på så sätt att stora offentliga myndigheter ska använda modellen, medan små får använda den.

En dialogruta för valbara elektroniska identitetshandlingar är någonting som alla offentliga myndigheter med e-tjänster måste ha. Med beaktande av utredningens förslag att offentliga myndigheter ska ansluta sig till valfrihetssystem som digitaliseringsmyndigheten tillhandahåller finner utredningen att det är lämpligt att utforma styrningen av de offentliga myndigheterna på samma sätt när det gäller användningen av modellen för utformning av dialogruta för valbara elektroniska identitetshandlingar. Utredningen anser att individers användarupplevelse ska vara densamma oavsett vilken offentlig myndighet som han eller hon identifierar sig mot.

… om det inte finns särskilda skäl

Många offentliga myndigheter är i dag bundna av avtal för tjänster för elektronisk identifiering. Dessa avtal har slutits på olika sätt, vid olika tidpunkter och med olika lång bindningstid. Det gör att offentliga myndigheter kan ha svårt att följa bestämmelsen som utredningen föreslår under den tid som de är bundna av andra avtal. Utredningen bedömer att avtal som hindrar att en offentlig myndighet använder sig av modellen kan vara särskilda skäl.

14.3.8. Ikraftträdande

Utredningen föreslår:

att den föreslagna lagen ska träda i kraft den 1 januari 2020.

Lagen reglerar många av de uppgifter som E-legitimationsnämnden utför i dag samt nya uppgifter som utredningen har bedömt nödvändiga. Utredningen föreslår att lagen ska träda i kraft den 1 januari 2020. Därmed skulle den författningsreglering som utredningen föreslår för elektroniska identitetshandlingar och elektronisk identifiering träda i kraft vid samma tidpunkt.

15. Arbetstagare, student, ställföreträdare – och elektronisk identifiering

15.1. Identitetshandling i tjänsten eller behörighetskontroller?

Individer behöver identifiera sig i många sammanhang. I vissa fall är det tillräckligt att identifiera sig, dvs. visa vem man är. I andra fall måste man visa vem man är i en viss kontext, exempelvis att man är anställd hos en viss arbetsgivare. I de fallen uppkommer ofta fråga om en åtgärd som en individ vidtar är i tjänsten eller som privatperson. Att en individ förekommer i en viss kontext är heller inte unikt för relationen arbetstagare och arbetsgivare. Personer som studerar har en relation till sin skola, liksom personer som agerar som ombud1 eller ställföreträdare2 har en relation till sin uppdragsgivare.

I samtliga nämnda fall är det intressant att bedöma vem som ska ha information om detta; individen, den som ska kontrollera identiteten eller den som utfärdar en identitetshandling.

Kontext innebär en relation mellan en individ och något annat; en organisation, ett företag eller en annan person. I stället för kontext kan man beskriva det som att individen intar olika roller. I utredningen ingår främst att lämna förslag som avser elektroniska identitetshandlingar i tjänsten.

1 Med ombud menar utredningen exempelvis den som uppträder som rättegångsombud eller agerar på fullmakt för en individ. 2 Med ställföreträdare menar utredningen här exempelvis den som för talan för en person som saknar processhabilitet (t.ex. en förvaltare) eller den som tecknar en juridisk persons firma.

15.2. Processen för identifiering när en individ har en roll eller ställning

Utredningen har i tidigare kapitel beskrivit hur den elektroniska identifieringsprocessen ser ut gentemot en e-tjänst. Kortfattat innebär identifieringsprocessen då att användaren väljer vilken elektronisk identitetshandling som han eller hon vill använda för att identifiera sig för inloggning. Den förlitande aktören (alltså den som tillhandahåller e-tjänsten) ställer en fråga till utfärdaren av den elektroniska identitetshandlingen om användarens identitet och får ett s.k. identitetsintyg tillbaka. Identitetsintyget innehåller uppgifter om användarens identitet. I dag innehåller identitetsintygen oftast personnummer och namn. Identitetsintygen innehåller inte uppgift om användarens (individens) roll eller ställning.

Inom E-delegationen etablerades en princip för organisationstillit i syfte att effektivisera arbetet med informationsutbyte mellan offentliga aktörer. Principen bygger på att det vid informationsutbyte inom ramen för myndigheternas samverkans- och serviceskyldighet räcker att kontrollera att den andra parten är den myndighet som den uppger sig vara, eftersom en myndighet vanligtvis kan lita på att en handläggare som agerar för en annan myndighets räkning är behörig att företräda myndigheten. Principen bygger på förvaltningslagens regler om myndigheternas samverkansskyldighet samt att varje myndighet själv ansvarar för sin interna kontroll.3 Ett exempel på organisationstillit är den system-till-system-lösning som finns inom rättsväsendets informationsförsörjning, RIF. I RIF skickas information direkt mellan myndigheternas verksamhetsstöd. Någon särskild identifieringslösning har därför inte bedömts nödvändig eftersom utbytena bygger på att varje mottagande myndighet litar på att den information som förmedlas kommer från en behörig tjänsteman hos den avsändande myndigheten.4 Det är i den avsändande myndighetens eget stöd som tjänstemännens behörigheter kontrolleras. Den mot-

3 eSam:s rapport En effektiv informationsförsörjning, s. 63. 4 Ett exempel på hur lagstiftningen kan sägas ha följt principen om organisationstillit är 45 kap. 4 § rättegångsbalken. Av bestämmelsen följer att en stämningsansökan som huvudregel ska vara egenhändigt undertecknad. En stämningsansökan som ges in elektroniskt ska emellertid vara undertecknad med en sådan elektronisk underskrift som avses i artikel 3 i eIDAS-förordningen eller överföras på ett sätt som uppfyller motsvarande grad av säkerhet. Det sista ledet i bestämmelsen menar utredningen utgör en författningsreglerad organisationstillit.

tagande myndigheten behöver därför inte göra några särskilda kontroller av avsändande tjänsteman.

15.3. Vad är behörighets- och attributstjänster?

15.3.1. E-legitimationsnämnden och Svensk e-legitimation

I betänkandet E-legitimationsnämnden och Svensk e-legitimation beskrev utredningen om bildande av en E-legitimationsnämnd att attributsintyg var elektroniska intyg som lämnade uppgift om behörighet, uppdrag, roll eller andra egenskaper som i traditionell miljö lämnas genom att visa upp en legitimation eller ge in registreringsbevis, fullmakter eller liknande handlingar. Utredningen om bildande av en Elegitimationsnämnd anförde också följande:

Genom attributsintyg ska myndigheters och företags e-tjänster smidigt kunna förses med ytterligare information om användare som legitimerar sig. Attribut kan vara ett eller flera och kan innehålla vilken information som helst, inom rimliga gränser – och de paketeras ”på samma sätt” som i ett identitetsintyg, dvs. i ett standardiserat format kallat SAML 2.0.5

Utredningen om bildande av en E-legitimationsnämnd beskrev vidare att det från juridiska utgångspunkter kunde tas olika perspektiv på hur information om en individ skulle inhämtas eller bifogas en identifiering. Det anfördes att olika lösningar kan komma att väljas utifrån olika praktiska situationer (vilka regler som gäller för personuppgiftshantering etc.). Dessa lösningar bör i praktiken begränsas till vissa typfall som lämpligen kan beskrivas från den praktiska situationen. Om man utgick från individen kunde attributsintyg innehålla information om i vilken form individen är behörig att företräda ett visst företag eller har någon annan egenskap. I de fallen är det upp till den förlitande aktören att utvärdera informationen för att bedöma frågan om behörighet. Om man i stället tog utgångspunkt i ett företag kunde det finnas behov av att bedöma om en viss individ är behörig och genom kompletterande sökningar hos exempelvis Bolagsverket för att inhämta registreringsbevis.6

5SOU 2010:104, E-legitimationsnämnden och Svensk e-legitimation, s. 38. 6SOU 2010:104, E-legitimationsnämnden och Svensk e-legitimation, s. 39.

15.3.2 eSam

eSam har i sin rapport En effektiv informationsförsörjning beskrivit följande om identitetshantering och behörighetshantering.

Områden som identitetshantering och behörighetshantering blir därmed centrala och behöver en gemensam utformning för hur det ska fungera såväl mellan offentliga aktörer som mellan offentliga aktörer, privatpersoner och företag. Privatpersoner kan agera i olika roller mot det offentliga; t.ex. som ordförande i en samfällighet, firmatecknare i ett bolag eller som privatperson. Privatpersoner kan även agera som ombud i olika former för andra privatpersoner, vilket även behöver kunna hanteras digitalt. Informationsförsörjningen behöver generellt ha stöd för att urskilja i vilken roll en enskild person har kontakt med det offentliga och vilka förutsättningar som föreligger i den specifika rollen.7

eSam anför vidare i samma rapport att det behöver tydliggöras om en gemensam attributstjänst för hantering av roller i relation till behörigheter kan vara en effektiv och ändamålsenlig lösning.

15.4. Identifiering i en e-tjänst eller annan identifieringslösning?

Utredningen om bildande av en E-legitimationsnämnd beskrev attributstjänster som tog sikte på fler roller än den som arbetstagare. Beskrivningarna omfattade också ombuds- och ställföreträdarrelationer. Detsamma gäller eSams angreppssätt i rapporten En effektiv informationsförsörjning.

Utredningen bedömer att den beskrivning av attributstjänster som Utredningen om bildande av en E-legitimationsnämnd gjorde huvudsakligen utgick från att identifieringen skulle göras mot en e-tjänst. Det beskrivs att identitetskontrollen resulterar i ett identitetsintyg, som kan förses med attributsintyg av olika slag.8 Implementeringen av utredningen om bildande av en E-legitimationsnämnds tankar har emellertid inte blivit på det sätt som beskrivits. Utredningen har erfarit att det i stället har blivit fråga om en standarduppsättning i identitetsintygen som består av namn och personnummer.

7 eSam, En effektiv informationsförsörjning s. 32. 8SOU 2010:104, E-legitimationsnämnden och Svensk e-legitimation, s. 38 ff.

Ovan har utredningen beskrivit att det inte är alla elektroniska identifieringar som ska göras mot e-tjänster och att detta särskilt gäller sådana elektroniska identifieringar som utförs i tjänsten.

15.5. Viktigt att utgå från praktiska fall, men dessa är inte generiska

Utredningen instämmer i den bedömning som Utredningen om bildande av en E-legitimationsnämnd gjorde, dvs. att man i analysen av attributs- och behörighetstjänster måste utgå från olika praktiska fall. Utredningen konstaterar att processer för förmedling och inhämtande av uppgifter med bäring på olika roller, främst de som avser ombud eller ställföreträdarskap, kan skilja sig åt mellan olika offentliga myndigheter. Vid en jämförelse mellan förvaltningslagens och rättegångsbalkens bestämmelser framgår följande. Av förvaltningslagen följer att myndigheter vid handläggning av ärenden ska beakta möjligheten att själv inhämta upplysningar och yttranden från andra myndigheter, om sådana behövs.9 Av rättegångsbalken följer att parters första inlaga ska innehålla uppgifter som både visar domstolens behörighet samt kan tjäna som underlag för delgivning.10 Part som vill ställa ett ombud för sig ska lämna ombudet fullmakt. Fullmakten ska visas upp i original när ombudet första gången för talan i målet.11 När det gäller förvaltningslagen innebär bestämmelsen att myndigheten själv ska inhämta uppgifter, medan rättegångsbalken föreskriver att parten ska förse domstolen med uppgifterna.12 De refererade bestämmelserna beskriver inte samma situation, men angreppssätten är enligt utredningen intressanta på så sätt att det finns processregler som medför att ansvaret för att förse myndigheter med uppgifter kan skilja sig åt mellan myndigheter. I bland måste myndigheten aktivt hämta och eftersöka uppgifter om en individs roll, andra gånger måste individer förse myndigheter med dessa uppgifter.

97 § förvaltningslagen (1986:223). Motsvarande bestämmelse finns också i 8 § andra stycket i den nya förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018. 1033 kap. rättegångsbalken (1942:740). 1112 kap. rättegångsbalken (1942:740. 12 Det ska dock påpekas att många domstolar också inhämtar sådana uppgifter från centrala register, om inte annat för att kontrollera att uppgifterna stämmer. Motsvarande bestämmelse som i FL saknas dock i RB.

15.6. Något om behörighetshantering

Utredningen kan vidare konstatera att frågan om behörigheter är komplex. Behörigheter kan bedömas utifrån olika perspektiv och behörighet handlar i bland också om befogenhet. En individ – tjänsteman eller ombud – kan vara behörig att vidta vissa åtgärder i tjänsten eller inom ramen för sitt uppdrag. I de fallen bestäms behörigheten av arbetsgivaren eller huvudmannen, som också är den som bäst kan förmedla information om behörigheten till andra. En sådan förmedling kan göras genom en behörighetstjänst. Behörighet kan också bestämmas hos mottagaren och handlar då främst om vilken information en utomstående kan få åtkomst till.

15.7. Pågående initiativ

När det gäller behovet av att kunna identifiera individer i en kontext med elektroniska medel finns det flera pågående arbeten. Vissa initiativ gäller utfärdande av elektroniska identitetshandlingar. Andra gäller att skapa identitetsfederationer. De pågående initiativen innefattar inte endast elektronisk identifiering i tjänsten, utan också elektronisk identifiering i skolans värld och i högskolesektorn.

15.7.1. Elektroniska identitetshandlingar i en kontext

Myndighets CA

Försäkringskassan har arbetat med it-tjänsten Myndighets CA13(MCA), som började utvecklas i och med att Servicekontoren öppnades år 2007. Med den lösning som MCA innebär kan en arbetstagare signera exempelvis word- och PDF-dokument eller e-postmeddelanden. Det är också möjligt att med MCA kryptera meddelanden samt att ställa ut s.k. servercertifikat för att säkerställa en maskins äkthet i den egna domänen eller på internet. I dagsläget används tjänsten av servicekontoren, Statens servicecenter, Pensionsmyndigheten, Försäkringskassan, Skatteverket och Kronofogdemyndigheten. Det är För-

13 CA står för Certificate Authority, dvs. en certifikatutfärdare, www.forsakringskassan.se/myndigheter/e-tjanster/myndighets-ca, 2017-12-05.

säkringskassan som ansvarar för drift, förvaltning och vidareutveckling av lösningen, i samverkan med anslutna myndigheter.14

Enligt uppgifter från Försäkringskassan15 är kostnaderna för MCA fördelade på en utvecklingskostnad och en driftskostnad. Dessa prognostiseras för varje år. Den totala summan för 2017 är 185 kronor per användare, och av det beloppet fördelar sig 150 kronor på driftskostnader och 35 kronor på nyutveckling. Beloppen är föremål för revidering och att de sätts utifrån hur många som använder dem.

SITHS

Inera AB16 har tagit fram SITHS-kortet för personer som är anställda eller uppdragstagare inom landsting, kommuner och privata vårdgivare. Kortet är personligt och används tillsammans med en personlig PIN-kod.17 Med SITHS-kortet kan arbetstagaren/uppdragstagaren identifiera sig för inloggning i datorer, olika system och e-tjänster, framför allt inom vården men också hos myndigheter. Det är vidare möjligt att signera e-postmeddelanden, avtal, fakturor, journalhandlingar och recept med SITHS-kortet. Kortet kan dessutom användas vid inpassering och utskrifter. Kortet är både en fysisk och en elektronisk identitetshandling.18

E-identitet för offentlig sektor – samverkan mellan Försäkringskassan och Inera AB

Inera AB19 och Försäkringskassan har sedan februari 2016 på eget initiativ drivit ett samverkansprojekt som handlar om tjänsten Eidentitet för offentlig sektor. Avsikten med samverkansprojektet är att ersätta både SITHS och Försäkringskassans MCA. E-identitet för offentlig sektor ska lanseras den 3 april 2018. E-identitet för offentlig

14 www.forsakringskassan.se/myndigheter/e-tjanster/myndighets-ca, 2017-12-05. 15 Telefonmöte den 27 september 2017 mellan utredningen och Försäkringskassan. 16 Inera ägs av SKL Företag, landsting, regioner och kommuner. Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare. 17 Dvs. att en persons identitet kontrolleras med tvåfaktorsautentisering. 18 www.inera.se/tjanster/identifieringstjanst-siths/, 2017-12-05. 19 Inera ägs i dag av SKL Företag AB samt landsting och regioner. Under 2017 har nästan samtliga kommuner i Sverige valt att köpa aktier i Inera AB och därmed också bli delägare.

sektor innebär att identifieringslösningen kan användas tillsammans med annan infrastruktur och s.k. lokala identity providers (IdP:er) så länge den lokala lösningen följer referensarkitekturen.20

Huddinge kommun

Huddinge kommun utfärdar elektroniska identitetshandlingar till sina anställda, som kan användas i tjänsten för samverkan med myndigheter och medborgare. Deras lösning har granskats och godkänts av E-legitimationsnämnden på tillitsnivå 3 och utfärdas med kvalitetsmärket Svensk e-legitimation.

15.7.2. Identitetsfederationer

En identitetsfederation syftar till att undvika att förlitande aktör måste sluta bilaterala avtal med varje utfärdare av en elektronisk identitetshandling. Syftet med identitetsfederationen är alltså att en aktör utses som ansvarig för federationen, och att varje aktör som vill ansluta sig till federationen måste följa ett uppställt regelverk – såväl tekniskt som tillitsbaserat – samt åtar sig att genomgå prövning och granskning med avseende på säkerhet och uppfyllelse av uppställda regelverk.

Sambi

Sambi21 stödjer rollbaserad åtkomst till e-tjänster. Det görs genom att det är användarorganisationen som ansvarar för hanteringen av deras användares roller och behörigheter, medan tjänsteleverantörerna ansvarar för att ge tillgång till tjänsten enligt den behörighet som användaren givits av användarorganisationen.

En viktig poäng med Sambi är att känsliga uppgifter som användarnamn och lösenord inte behöver skickas över internet. De lagras inte heller hos tjänsteleverantören. Inloggningen sker hos användarorganisationen som förser tjänsten med relevant information för be-

20 www.inera.se/aktuellt/projekt/e-identitet-for-offentlig-sektor/, 2017-12-05. 21 Sambi är ett samarbete mella n eHälsomyndigheten, Inera oc h IIS (I nternetstiftelsen i Sverige).

slut om åtkomst. Sambi är ett samarbete mellan eHälsomyndigheten, Inera och Internetstiftelsen i Sverige.

SWAMID

SWAMID är en identitetsfederation som omfattar de flesta lärosäten, forskningsinstitut och andra myndigheter som är relaterade till svensk forsknings- och utbildningssektor. SWAMID drivs av SUNET.22 SWAMID innehåller uppgifter om både individen och vilken roll denne har, vilket oftast är student eller anställd.

Skolfederationen

Skolfederationen har en standardiserad inloggningslösning för att förenkla konto- och lösenordshanteringen för såväl användarna på skolsidan, som för leverantörer av olika läromedel, tjänster och system. Med Skolfederation kan eleverna använda en enda inloggning, single sign-on, för att komma åt tjänster i skolan samt alla de digitala resurser som skolan abonnerar på online (till exempel läromedel, referensverk eller schemaläggning). Den här lösningen bygger på en internationell öppen standard. Skolfederation har tagits fram under ledning av SIS, Swedish Standards Institute, och drivs av Internetstiftelsen i Sverige.23

15.8. Skilj på tjänsteutövning och privata ärenden

Utredningen bedömer:

Arbetstagare ska inte använda sina privata elektroniska identitetshandlingar i tjänsten. Det är arbetsgivares ansvar att säkerställa att arbetstagare kan identifiera sig elektroniskt i tjänsten.

Utredningen har i föregående avsnitt beskrivit att det finns olika sätt för arbetsgivare att lösa elektronisk identifiering för arbetstagare inom sin organisation och i relation till andra. Sättet som det löses på

22 www.sunet.se/swamid/, 2017-12-06. 23 www.skolfederation.se/om/, 2017-12-06.

är en teknisk fråga. Tekniken bör emellertid följa de strukturer som finns i fråga om ansvar för att arbetstagare har de medel som behövs för att utföra sin tjänst.

På de allra flesta arbetsplatser finns det digitala verksamhetsstöd. Arbetstagare kan behöva identifiera sig elektroniskt mot dessa, men också mot andra organisationers e-tjänster och i vissa fall andra organisationers verksamhetsstöd. Utredningen anser att arbetsgivare som ställer krav på elektronisk identifiering för att en individ ska kunna utföra sina arbetsuppgifter också ska förse individen med det medel som krävs för att göra detta. En elektronisk identitetshandling som arbetstagare använder i tjänsten är alltså att betrakta som ett verktyg för tjänsten.

15.8.1. Den statliga elektroniska identitetshandlingen är bara för privat bruk …

Utredningen föreslår att alla statliga myndigheter, kommuner och landsting ska godta identifiering med den statliga elektroniska identitetshandlingen. Detta kan tolkas på så sätt att den statliga elektroniska identitetshandlingen kan användas av individer också för att identifiera sig i tjänsten. Utredningen menar emellertid att den statliga elektroniska identitetshandlingen inte ska användas av individer i tjänsten, med det undantag som redovisas i det följande.

Om en arbetsgivare kräver att en anställd använder privat utrustning i arbetet måste detta framkomma av anställningsavtalet. Annars gäller principen att arbetsgivaren tillhandahåller den utrustning arbetet kräver. Vad gäller it-utrustning måste även arbetsgivarens personuppgiftsansvar vägas in. Om personuppgifter behandlas i tjänsten på en privat utrustning så har arbetsgivaren personuppgiftsansvaret och är därför skyldighet att kontrollera utrustningen i fråga. Detta kan innebära att arbetsgivaren får del av den anställdes privata information. Det torde därför vara mindre lämpligt att arbetsgivare kräver att anställda ska använda elektronisk identitetshandling på en privat mobiltelefon. Vid användning av privat elektronisk identitetshandling på kort uppstår inte samma komplikation. Däremot finns en annan omständighet att ta i beaktande.

Den statliga elektroniska identitetshandlingen kan tillhandahållas antingen genom upphandling eller genom att en myndighet utvecklar den själv. I fallet upphandling kan det innebära att den leverantör staten

väljer får en dominerande ställning även på marknaden för identitetshandlingar i tjänsten. Om den elektroniska identitetshandlingen levereras av en myndighet innebär det i stället att staten konkurrerar med leverantörer på denna marknad.

I de flesta fall torde arbetsgivare vilja att det fysiska kort som den elektroniska identitetshandlingen finns på även optiskt förmedlar den behörighet arbetstagaren har, t.ex. genom företagsnamn, avdelning osv. Arbetstagarens behörighet kan nämligen behöva bedömas i sådana sammanhang där kortet inte kan läsas elektroniskt.

Sammantaget innebär detta att det inte är lämpligt att arbetstagare använder samma elektroniska identitetshandling i tjänsten som de använder privat. En arbetsgivare som kräver att en anställd – i sin tjänsteutövning – ska identifiera sig elektroniskt gentemot det egna verksamhetsstödet eller i e-tjänster hos andra aktörer måste enligt utredningens bedömning tillhandahålla den anställde en särskild identifieringslösning.

15.8.2 … men kan användas som underlag för arbetsgivaren

att skapa en annan elektronisk identitetshandling

Som arbetsgivare behöver man i många fall kontrollera identiteten hos sina anställda, åtminstone i samband med att de anställs. I de fall arbetsgivaren kontrollerar identiteten på en arbetstagare görs det genom att individen visar upp en fysisk identitetshandling. I bland måste arbetsgivaren också göra säkerhetskontroller på individen. De fysiska identitetshandlingar som staten utfärdar har alltså en betydelse i den identitetskontroll som arbetsgivare gör av sina arbetstagare. Nu är det oftast så att anställningsförfaranden innefattar personliga besök hos arbetsgivaren, men utredningen bedömer att den statliga elektroniska identitetshandlingen på sikt kan användas på motsvarande sätt.

15.9. Organisering och ansvarsfördelning

Utredningen föreslår:

att regeringen ger digitaliseringsmyndigheten i uppdrag att när-

mare bedöma om E-identitet för offentlig sektor skulle kunna användas i hela den offentliga förvaltningen.

Utredningen bedömer att det är viktigt med samordning av elektronisk identifiering i tjänsten. De lösningar som tas fram ska fungera såväl inom den egna organisationen som i relation till andra aktörer. Det som Försäkringskassan och Inera AB tar fram inom ramen för E-identitet för offentlig sektor kan komma att utvecklas till en funktion som kan användas i hela den offentliga förvaltningen. Det är möjligt att den med tiden blir att bedöma som en förvaltningsgemensam digital funktion. Eftersom arbete alltjämt pågår och en lansering av E-identitet för offentlig sektor inte är planerad förrän våren 2018 bedömer utredningen att det är bäst att avvakta den fortsatta utvecklingen av arbetet. Utredningen föreslår därför att regeringen ger digitaliseringsmyndigheten i uppdrag att närmare bedöma om E-identitet i offentlig sektor kan användas i hela den offentliga förvaltningen, dvs. om arbetet utvecklas till att vara en förvaltningsgemensam digital funktion.

16 eIDAS – syfte och innebörd

Enligt utredningens direktiv ska de rättsliga, ekonomiska och verksamhetsmässiga konsekvenserna för svenska offentliga myndigheter av att erkänna anmälda europeiska elektroniska identitetshandlingar och elektroniska underskrifter i nationella e-tjänster utredas. Det inbegriper bland annat att lämna förslag på hur processen för tilldelning av samordningsnummer till utländska medborgare på distans kan möjliggöras och automatiseras, hur personuppgiftsansvaret bör fördelas samt dess omfattning. Dessutom ska utredningen även utreda behoven av och förutsättningarna för anmälan av svenska elektroniska identitetshandlingar enligt eIDAS-förordningen. Här ingår bland annat att ta ställning till ett eventuellt offentligt åtagande, ekonomiska och rättsliga risker, ersättningsmodell till privata utfärdare av elektroniska identitetshandlingar samt om pseudonym bör användas. Slutligen ska utredningen i denna del även översiktligt kartlägga vilka svenska tjänster som kan komma att omfattas av eIDAS-förordningens krav på betrodda tjänster och den offentliga förvaltningens förväntade framtida behov av sådana tjänster. I följande kapitel (16–20) behandlar utredningen de förutsättningar, bedömningar och förslag som har att göra med eIDAS-förordningen och dess följder.

16.1. Skälen till eIDAS-förordningen

I skälen till eIDAS-förordningen1 (1–77) anges anledningarna till att förordningen skapades och de syften som eftersträvades när förordningstexten formulerades.

1 Europaparlamentets och Rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Skälen till förordningen är inte tvingande reglering och ska därför inte blandas samman med förordningens artiklar som följer efter skälen. För förståelsen av eIDAS-förordningen återges nedan ändå några av de skäl som ledde fram till förordningens lydelse.

Förtroende för nätmiljön (skäl 1–2)

Medlemsstaterna vill genom förordningen bygga upp förtroendet för nätmiljön för att främja den ekonomiska och sociala utvecklingen. Bristande förtroende, särskilt på grund av upplevd brist på rättssäkerhet, anses göra att konsumenter, företag och offentliga myndigheter tvekar att utföra transaktioner på elektronisk väg och att använda nya tjänster. Genom att i förordningen tillhandahålla en gemensam grund för ett säkert elektroniskt samspel mellan medborgare, företag och offentliga myndigheter vill medlemsstaterna öka förtroendet för elektroniska transaktioner på den inre marknaden. Därigenom ska effektiviteten hos offentliga och privata nättjänster, elektronisk affärsverksamhet och e-handel öka i unionen.

Ömsesidigt erkännande av elektronisk identifiering (skäl 9 och 12)

Det konstateras att medborgare i de flesta fall inte kan använda sin elektroniska identifiering för att autentisera sig2 i en annan medlemsstat därför att de nationella systemen för elektronisk identifiering i deras land inte är erkända i andra medlemsstater. Detta elektroniska hinder utestänger enligt skälen tillhandahållare av e-tjänster från möjligheten att fullt ut utnyttja fördelarna med den inre marknaden. Ömsesidigt erkända medel för elektronisk identifiering bör underlätta tillhandahållandet av en rad olika tjänster över gränserna på den inre marknaden och ge företagen möjlighet att verka över gränserna utan att stöta på en mängd hinder i sina kontakter med offentliga myndigheter.

2 Autentisering innebär en elektronisk process som gör det möjligt att bekräfta den elektroniska identifieringen för en fysisk eller juridisk person, eller ursprunget för och integriteten hos uppgifter i elektronisk form.

Medlemsstaternas självbestämmande (skäl 12–13)

Förordningen syftar inte till att ingripa i fråga om elektroniska identitetshanteringssystem och tillhörande infrastrukturer som inrättats i medlemsstaterna. Syftet är att se till att säker elektronisk identifiering och autentisering för åtkomst till gränsöverskridande nättjänster som erbjuds av medlemsstaterna är möjlig.

Medlemsstaterna bör fortsättningsvis ha rätt att för elektronisk identifiering använda eller införa medel för åtkomst till nättjänster. De bör ha möjlighet att själva bestämma om de vill engagera den privata sektorn i tillhandahållandet av dessa medel. De bör inte vara skyldiga att anmäla sina system för elektronisk identifiering till kommissionen. Det ankommer på medlemsstaterna att välja om de till kommissionen vill anmäla alla, några eller inga av de elektroniska identifieringssystem som används på nationell nivå för att få åtkomst till åtminstone offentliga nättjänster eller särskilda nättjänster.

Principer och gränser för ömsesidigt erkännande (skäl 14)

Förordningen bör innehålla villkor för vilka medel för elektronisk identifiering som måste erkännas och hur systemen för elektronisk identifiering bör anmälas. Dessa villkor syftar till att hjälpa medlemsstaterna att bygga upp det förtroende som krävs för varandras system för elektronisk identifiering. Principen om ömsesidigt erkännande bör gälla om den anmälande medlemsstatens system för elektronisk identifiering uppfyller villkoren för anmälan och om anmälan har offentliggjorts. Principen om ömsesidigt erkännande bör dock endast avse autentisering för en nättjänst. Åtkomsten till nättjänsten och dess slutliga leverans till användaren bör vara nära kopplad till rätten att ta emot sådana tjänster enligt villkoren i nationell lagstiftning.

Skadeståndsansvar (skäl 18)

I förordningen bör det föreskrivas skadeståndsansvar för den anmälande medlemsstaten, den aktör som utfärdar medlet för elektronisk identifiering och den aktör som har hand om autentiseringsförfarandet vid underlåtenhet att uppfylla relevanta skyldigheter enligt förordningen. Förordningen bör dock tillämpas i enlighet med nationella

bestämmelser om skadeståndsansvar. Den ska därför inte påverka tillämpningen av nationella bestämmelser om t.ex. definition av skada eller relevanta tillämpliga förfaranderegler exempelvis om bevisbörda.

Säkerhet och samarbete (skäl 19–20)

Säkerheten i system för elektronisk identifiering är enligt skälen avgörande för ett tillförlitligt gränsöverskridande ömsesidigt erkännande av medel för elektronisk identifiering. Mot denna bakgrund bör medlemsstaterna samarbeta med avseende på säkerheten och interoperabiliteten i systemen för elektronisk identifiering på unionsnivå.

Medlemsstaternas samarbete bör underlätta den tekniska interoperabiliteten för de anmälda systemen för elektronisk identifiering i syfte att främja en hög nivå av förtroende och en säkerhetsnivå som är anpassad till risknivån. Ett utbyte av information och bästa praxis mellan medlemsstaterna med sikte på ömsesidigt erkännande bör bidra till detta samarbete.

Betrodda tjänster (skäl 21–67)

Liksom när det gäller artiklarna handlar en stor del av skälen till förordningen om betrodda tjänster. Någon allmän skyldighet att använda dem eller att installera en accesspunkt för alla befintliga betrodda tjänster bör enligt skälen inte skapas. I synnerhet bör förordningen inte gälla tillhandahållande av tjänster som endast används inom slutna system mellan en avgränsad uppsättning deltagare, och som inte påverkar tredje man. Endast betrodda tjänster som tillhandahålls för allmänheten och som påverkar tredje man behöver uppfylla förordningens krav.

På grund av den snabba tekniska utvecklingen bör förordningen omfatta en strategi som är öppen för innovation. Förordningen bör även vara teknikneutral.

I övrigt behandlar skälen bl.a. tillsynsorgan, skadeståndsansvar och säkerhetsfrågor när det gäller betrodda tjänster.

16.2. Allmänna bestämmelser

Förordningens första kapitel behandlar syfte, tillämpningsområde och definitioner. I artikel 1 anges att i syfte att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster fastställs i förordningen

a) de villkor på vilka medlemsstaterna erkänner medel för elektronisk

identifiering av fysiska och juridiska personer som omfattas av ett anmäl system för elektronisk identifiering hos en annan medlemsstat,

b) regler för betrodda tjänster, i synnerhet elektroniska transaktioner,

och

c) en rättslig ram för elektroniska underskrifter, elektroniska stämp-

lar, elektronisk tidsstämpling, elektroniska dokument, elektroniska tjänster för rekommenderade leveranser och certifikattjänster för autentisering av webbplatser.

I artikel 2 följer en beskrivning av förordningens tillämpningsområde och artikel 3 innehåller definitioner av 41 centrala begrepp som används i förordningstexten och i genomförandeakterna. Artikel 4 beskriver inremarknadsprincipen som bl.a. innebär att produkter och betrodda tjänster som överensstämmer med förordningen ska omfattas av fri rörlighet på den inre marknaden. Av artikel 5 följer att personuppgifter ska behandlas i enlighet med dataskyddsdirektivet.3 Dessutom ska användningen av pseudonymer vid elektroniska transaktioner inte förbjudas.

16.3. Elektronisk identifiering

Förordningens andra kapitel behandlar elektronisk identifiering och inleds med artikel 6 om ömsesidigt erkännande. Enligt första punkten har offentliga organ (myndigheter) skyldighet att erkänna andra

3 Direktiv 95/46/EG. Dataskyddsdirektivet kommer den 25 maj 2018 ersättas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

medlemsstaters elektroniska identitetshandlingar för gränsöverskridande autentisering i e-tjänster som kräver elektronisk identifiering och autentisering för nationell åtkomst, förutsatt att

a) den elektroniska identitetshandlingen är utfärdad inom ramen

för ett system för elektronisk identifiering som ingår i kommissionens förteckning enligt artikel 9,

b) tillitsnivån för den elektroniska identitetshandlingen motsvarar

en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offentliga myndigheten i fråga kräver för åtkomst till den aktuella e-tjänsten, förutsatt att tillitsnivån för den elektroniska identitetshandlingen motsvarar tillitsnivån väsentlig eller hög,

c) den offentliga myndigheten i fråga använder tillitsnivån väsentlig

eller hög i samband med åtkomst till nättjänsten.

Det innebär alltså en skyldighet för offentlig sektor att erkänna andra anmälda elektroniska identitetshandlingar för gränsöverskridande autentisering om tillitsnivån på den utländska notifierade elektroniska identitetshandlingen är minst nivå väsentlig och minst samma eller högre än vad som krävs nationellt, och det nationellt krävs minst tillitsnivå väsentlig.4

Enligt andra punkten får en offentlig myndighet erkänna en elektronisk identitetshandling som ingår i kommissionens förteckning och som motsvarar tillitsnivå låg. Det är alltså valfritt för den offentliga myndigheten.

Artikel 7 beskriver vad som krävs för att ett system för elektronisk identifiering ska kunna anmälas enligt artikel 9.1. Bland annat följande villkor ska vara uppfyllda:

a) Den elektroniska identitetshandlingen ska vara utfärdad

i) av den anmälande medlemsstaten, ii) på uppdrag av den anmälande medlemsstaten, eller iii) oberoende av den anmälande medlemsstaten och erkännas av

den medlemsstaten.

4 Tillitsnivå väsentlig har bedömts motsvara svensk tillitsnivå 3, se avsnitt 12.7 om svenska tillitsnivåer.

Anmälan av privata utfärdare av elektroniska identitetshandlingar är alltså tillåtet om den elektroniska identitetshandlingen är godkänd i den anmälande medlemsstaten.

b) Den elektroniska identitetshandlingen ska kunna användas för

att få åtkomst till åtminstone en tjänst som tillhandahålls av en offentlig myndighet och som kräver elektronisk identifiering i den anmälande medlemsstaten.

c) Den elektroniska identitetshandlingen ska uppfylla kraven för åt-

minstone en av de tillitsnivåer som anges i den genomförandeakt som avses i artikel 8.3.

Därefter regleras fördelning av ansvar mellan anmälande medlemsstat och den aktör som utfärdar elektroniska identitetshandlingar när det gäller personidentifieringsuppgifter och tilldelning av elektroniska identitetshandlingar. Den anmälande medlemsstaten ska se till att en autentiseringstjänst erbjuds samtliga förlitande aktörer. Tjänsten får förenas med särskilda villkor för den privata sektorn och ska vara kostnadsfri för förlitande aktörer i den offentliga sektorn.

I artikel 8 beskrivs systemet med tillitsnivåer för elektroniska identitetshandlingar. Tillitsnivåerna låg, väsentlig eller hög ska specificeras för anmälda elektroniska identitetshandlingar. Vad varje tillitsnivå innebär förtydligas i en genomförandeförordning.5

Artikel 9 handlar om hur elektroniska identitetshandlingar anmäls till kommissionen för att kunna inkluderas i förteckningen av elektroniska identitetshandlingar som ska erkännas i medlemsstaternas offentliga e-tjänster. Anmälan ska bland annat innehålla en beskrivning av den elektroniska identitetshandlingen inbegripet dess tillitsnivåer och av utfärdaren eller utfärdarna av den elektroniska identitetshandlingen. Anmälan ska även innehålla uppgift om det tillämpliga systemet för tillsyn och information om systemet för skadeståndsansvar när det gäller både utfärdare och den aktör som handhar autentiseringsförfarande. Dessutom ska den eller de offentliga myndigheter som ansvarar för den elektroniska identitetshandlingen anges samt

5 Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

information om den eller de enheter som hanterar registreringen av de unika personuppgifterna. I övrigt krävs också bl.a. uppgift om system för tillfälligt upphävande eller återkallelse av den anmälda elektroniska identitetshandlingen.

En medlemsstat får själv lämna in begäran till kommissionen om att ta bort en elektronisk identitetshandling från förteckningen. Fler definitioner av hur anmälan och avanmälan ska gå till finns i ett genomförandebeslut.6

Artikel 10 behandlar säkerhetsincidenter och vilka åtgärder som ska vidtas om en anmäld elektronisk identitetshandling utsätts för intrång eller delvis äventyras på ett sätt som påverkar tillförlitligheten i systemets gränsöverskridande autentisering. Den anmälande medlemsstaten ska då utan dröjsmål tillfälligt upphäva eller återkalla denna gränsöverskridande autentisering eller de berörda utsatta delarna och informera andra medlemsstater och kommissionen. När incidenten har åtgärdats kan den gränsöverskridande autentiseringen återinföras och de andra medlemsstaterna ska informeras om det. Om problemet inte har åtgärdats efter tre månader ska den elektroniska identitetshandlingen dras tillbaka.

I artikel 11 berörs frågor om skadeståndsansvar. I princip bär varje aktör skadeståndsansvar för det man ansvarar för. Den anmälande medlemsstaten har skadeståndsansvar för skada som åsamkats genom dess underlåtenhet att uppfylla sina skyldigheter enligt artikel 7. Den aktör som utfärdat den elektroniska identitetshandlingen har skadeståndsansvar för skada som åsamkats genom underlåtenhet att uppfylla sina skyldigheter enligt artikel 7. Den aktör som handhar autentiseringsförfarandet har skadeståndsansvar för skada som åsamkats genom underlåtenhet att säkerställa korrekt handhavande av autentisering enligt artikel 7.

Ovanstående regler ska enligt artikel 11.4 tillämpas i enlighet med nationella regler om skadeståndsansvar. Det är dock inte specificerat vilka nationella regler som avses. Det kan vara reglerna i den medlemsstat som ansvarar för den elektroniska identitetshandlingen eller i den eller de medlemsstater där incident har uppstått.

6 Kommissionens genomförandebeslut (EU) 2015/1984 av den 3 november 2015 om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

Artikel 12 behandlar samarbete och interoperabilitet. Anmälda elektroniska identitetshandlingar ska följa ett interoperabilitetsramverk som ska uppfylla vissa kriterier. Det ska vara teknikneutralt, följa europeiska och internationella standarder och främja integritetsskydd samt säkerställa persondataskydd.

Vidare anges i artikel 12 att medlemsstaterna ska samarbeta när det gäller säkerhet, tillitsnivåer och interoperabilitet. De ska utbyta erfarenheter inom områden som berör sakkunnighetsbedömningar, minimikrav på teknik för interoperabilitet och minimikrav på attribut.

Vidare definitioner när det gäller interoperabilitet och samarbete finns i en genomförandeförordning.7

Genomförandeförordningen innehåller regler om bland annat tekniska minimikrav rörande tillitsnivåer och kartläggning av nationella tillitsnivåer för anmälda medel för elektronisk identifiering som utfärdats inom ramen för anmälda system för elektronisk identifiering, tekniska minimikrav på interoperabilitet, minimuppsättningen av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person, gemensamma standarder för operativ säkerhet och bestämmelser för tvistlösning.

16.4. Betrodda tjänster

Förordningens kapitel III om betrodda tjänster omfattar 32 artiklar indelade i åtta avsnitt. Nedan följer en översiktlig beskrivning av reglernas innebörd.

16.4.1. Allmänna bestämmelser

Artikel 13 behandlar skadeståndsansvar och bevisbörda när det gäller betrodda tjänster. Även här ansvarar varje aktör för åsamkad skada.

Kvalificerade tillhandahållare av betrodda tjänster har bevisbörda för att visa att skadan uppstått utan avsikt eller oaktsamhet hos den kvalificerade tillhandahållaren. Däremot är det den som gör gällande

7 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

skada som har bevisbördan för avsikt eller oaktsamhet hos en ickekvalificerad tillhandahållare av betrodda tjänster.

Reglerna ska tillämpas i enlighet med nationella bestämmelser om skadeståndsansvar men inte heller när det gäller betrodda tjänster specificerar förordningen vilken medlemsstats nationella bestämmelser som ska gälla.

De allmänna bestämmelserna innehåller även artiklar som behandlar vissa internationella aspekter, tillgänglighet för personer med funktionshinder och sanktioner.

16.4.2. Tillsyn

I artikel 17 finns regler om tillsynsorgan. Medlemsstaterna ska utse ett tillsynsorgan. Tillsynsorganet ska utöva tillsyn över kvalificerade tillhandahållare av betrodda tjänster och även vid behov vidta åtgärder avseende icke-kvalificerade tillhandahållare av betrodda tjänster om tillsynsorganet tar del av påståenden att dessa inte uppfyller förordningens krav. Artikelns lydelse specificerar vilka uppgifter som ingår i tillsynen. I Sverige är Post- och telestyrelsen (PTS) utsedd till tillsynsorgan.

Tillsynsorganen ska enligt artikel 18 samarbeta och ge varandra bistånd men har också möjlighet att under vissa förutsättningar vägra sådant bistånd.

Artikel 19 innehåller regler om säkerhetskrav på tillhandahållare av betrodda tjänster. Enligt första punkten ska kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster vidta lämpliga tekniska och organisatoriska åtgärder för att hantera säkerhetsriskerna hos de betrodda tjänster som de tillhandahåller. Åtgärderna ska säkerställa att säkerhetsnivån står i proportion till graden av risk.

Enligt 19.2 ska kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster, utan otillbörligt dröjsmål och under alla omständigheter inom 24 timmar efter upptäckt, underrätta tillsynsorganet och i förekommande fall andra relevanta organ, såsom det behöriga nationella organet för informationssäkerhet eller dataskyddsmyndigheten, om alla säkerhetsincidenter och integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna.

När det är troligt att säkerhetsincidenten eller integritetsförlusten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhandahållits, ska tillhandahållaren av betrodda tjänster utan onödigt dröjsmål även underrätta den fysiska eller juridiska personen om säkerhetsincidenten eller integritetsförlusten.

Tillsynsorganet har vid sådana säkerhetsincidenter eller integritetsförluster i uppgift att, om det är lämpligt, informera övriga medlemsstater, allmänheten samt Europeiska byrån för nät- och informationssäkerhet (Enisa).

16.4.3. Kvalificerade betrodda tjänster

Kraven på kvalificerade betrodda tjänster är högre än på icke kvalificerade betrodda tjänster. Därför är det i högre grad specificerat vad som gäller för kvalificerade betrodda tjänster. I förordningens artikel 20 regleras hur tillsyn av kvalificerade betrodda tjänster ska gå till. Minst en gång vartannat år och på egen bekostnad ska kvalificerade tillhandahållare av betrodda tjänster granskas. Tillsynsorganet får dessutom när som helst utföra granskning. Om den kvalificerade tillhandahållaren underlåter att åtgärda något som tillsynsorganet har påpekat kan tillsynsorganet komma att återkalla tjänstens status som kvalificerad.

Artikel 21 innehåller krav för att sätta igång en kvalificerad betrodd tjänst. Detta ska anmälas till tillsynsorganet som, om tillhandahållaren uppfyller förordningens krav, ska bevilja status som kvalificerad och föra upp tillhandahållaren på förteckningen över kvalificerade tillhandahållare.

Varje medlemsstat ska enligt artikel 22 upprätta, underhålla och offentliggöra förteckningar med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som den ansvarar för, tillsammans med uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Detta görs i Sverige på PTS webbplats.

Kvalificerade tillhandahållare av betrodda tjänster får enligt artikel 23 använda sig av EU-förtroendemärket för att på ett enkelt, igenkännligt och tydligt sätt ange de kvalificerade betrodda tjänster som de tillhandahåller.

Kommissionens genomförandeförordning (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av EU-förtroendemärket för kvalificerade betrodda tjänster, bilaga I och II.

I artikel 24 behandlas kraven på kvalificerade tillhandahållare av betrodda tjänster. Tillhandahållaren ska, när den utfärdar ett kvalificerat certifikat för en betrodd tjänst, på lämpligt sätt och i enlighet med nationell rätt kontrollera identiteten och i förekommande fall eventuella särskilda attribut för den fysiska eller juridiska person till vilken det kvalificerade certifikatet utfärdas. Detta kan göras genom fysisk närvaro, elektronisk identitetshandling med tillitsnivå väsentlig eller hög, certifikat för kvalificerad elektronisk underskrift eller en kvalificerad elektronisk stämpel, eller slutligen med hjälp av andra identifieringsmetoder som erkänns på nationell nivå och som erbjuder garantier som är likvärdiga med fysisk närvaro. Likvärdiga garantier ska då bekräftas av ett organ för bedömning av överensstämmelse.

Övriga krav inkluderar bland annat informationsplikt, kunskap hos personal och underleverantörer, ekonomiska medel eller försäkring för att täcka risk för ansvar vid skador, säkerhet, tillförlitlig lagring av uppgifter, plan för verksamhetens upphörande samt att säkerställa laglig behandling av personuppgifter.

16.4.4. Elektroniska underskrifter

Rättslig verkan av elektroniska underskrifter beskrivs i artikel 25. En elektronisk underskrift får inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter.

En kvalificerad elektronisk underskrift ska ha motsvarande rättsliga verkan som en handskriven underskrift och erkännas som en kvalificerad elektronisk underskrift i samtliga medlemsstater.

I artikel 26 återfinns de krav som ställs på en avancerad elektronisk underskrift. Den ska vara knuten till undertecknaren, undertecknaren ska kunna identifieras genom den, den ska vara skapad så att undertecknaren med hög grad av tillförlitlighet kan använda den uteslutande under sin egen kontroll och slutligen ska efterföljande ändringar av de undertecknade uppgifterna kunna upptäckas.

Elektroniska underskrifter i offentliga tjänster är enligt artikel 27 föremål för ömsesidigt erkännande på motsvarande nivå. Medlemsstaterna ska för gränsöverskridande användning av nättjänster som erbjuds av ett offentligt organ inte kräva en elektronisk underskrift med en högre säkerhetsnivå än den som gäller för kvalificerade elektroniska underskrifter.

Vissa regler när det gäller kvalificerade certifikat för elektroniska underskrifter finns i artikel 28 men kraven de ska uppfylla finns i bilaga I till förordningen. Där specificeras vad certifikaten ska innehålla. En liknande konstruktion har valts när det gäller anordningar för skapande av kvalificerade elektroniska underskrifter i artikel 29– 30 och bilaga II.

Kommissionen ska enligt artikel 31 offentliggöra en förteckning över certifierade anordningar för skapande av kvalificerade elektroniska underskrifter.

Giltigheten för en kvalificerad elektronisk underskrift kan bekräftas genom validering. Artikel 32 innehåller krav för sådan validering och artikel 33 reglerar kvalificerade valideringstjänster för kvalificerade elektroniska underskrifter.

I artikel 34 finns en regel om vem som får tillhandahålla en kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter.

16.4.5. Elektroniska stämplar

Elektroniska stämplars rättsliga verkan beskrivs i artikel 35. Den får inte förvägras rättslig verkan enbart på grund av att den har elektronisk form. En kvalificerad elektronisk stämpel ska omfattas av en presumtion om integritet hos de uppgifter som den är kopplad till och om att uppgifterna har korrekt ursprung. En kvalificerad elektronisk

stämpel som är baserad på ett kvalificerat certifikat som har utfärdats i en medlemsstat ska erkännas som en kvalificerad elektronisk stämpel i alla andra medlemsstater.

En elektronisk stämpel ska uppfylla krav enligt artikel 36. Den ska vara knuten uteslutande till skaparen av stämpeln. Skaparen av stämpeln ska kunna identifieras. Stämpeln ska vara skapad så att den kan användas med hög grad av tillförlitlighet. Den ska vara kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

Elektroniska stämplar i offentliga tjänster är enligt artikel 37 föremål för ömsesidigt erkännande på motsvarande nivå. Medlemsstaterna ska för gränsöverskridande användning av nättjänster som erbjuds av ett offentligt organ inte kräva en elektronisk stämpel med en högre säkerhetsnivå än den som gäller för den kvalificerade elektroniska stämpeln.

Vissa regler när det gäller kvalificerade certifikat för elektroniska stämplar finns i artikel 38 men kraven de ska uppfylla finns i bilaga III till förordningen. Där specificeras vad certifikaten ska innehålla.

När det gäller kvalificerade anordningar för skapande av elektroniska stämplar samt validering och bevarande av kvalificerade elektroniska stämplar hänvisas i artikel 39–40 till motsvarande bestämmelser för kvalificerade elektroniska underskrifter i artikel 29–34.

16.4.6. Elektroniska tidsstämplingar

Elektroniska tidsstämplingars rättsliga verkan beskrivs i artikel 41. Även när det gäller elektroniska tidstämplingar får de inte förvägras rättslig verkan enbart på grund av att den har elektronisk form. En kvalificerad elektronisk tidsstämpling ska omfattas av en presumtion av korrekthet och erkännas som en kvalificerad elektronisk tidsstämpling i alla medlemsstater.

Artikel 42 innehåller förordningens krav på en kvalificerad elektronisk tidsstämpling. Den ska binda datumet och tiden till uppgifter så att möjligheten att uppgifterna ändras utan att det går att upptäcka rimligtvis kan uteslutas. Den ska vara grundad på en korrekt tidskälla som är kopplad till samordnad universaltid. Den ska vara undertecknad med hjälp av en avancerad elektronisk underskrift eller för-

seglad med en avancerad elektronisk stämpel från den kvalificerade tillhandahållaren av betrodda tjänster eller genom en likvärdig metod.

16.4.7. Elektroniska tjänster för rekommenderade leveranser

Rättslig verkan av elektroniska tjänster för rekommenderade leveranser beskrivs i artikel 43. Uppgifter som sänds och tas emot genom en elektronisk tjänst för rekommenderade leveranser får inte förvägras rättslig verkan enbart på grund av att de har elektronisk form. Uppgifter som sänds och tas emot genom en kvalificerad elektronisk tjänst för rekommenderade leveranser ska omfattas av en presumtion om uppgifternas integritet, om uppgifternas avsändande av den identifierade avsändaren, uppgifternas mottagande av den identifierade adressaten samt om riktigheten i det datum och den tidpunkt för avsändande och mottagande som anges i den kvalificerade elektroniska tjänsten för rekommenderade leveranser.

Artikel 44 innehåller förordningens krav på kvalificerade elektroniska tjänster för rekommenderade leveranser. Kraven innebär bland annat följande. De kvalificerade elektroniska tjänsterna för rekommenderade leveranser ska tillhandahållas av en eller flera kvalificerade tillhandahållare av betrodda tjänster. De ska med hög grad av tillförlitlighet säkerställa avsändarens identitet. De ska säkerställa adressatens identitet innan uppgifterna levereras. Kvalificerade betrodda tjänster ska användas för att säkerställa avsändande, mottagande och tidpunkt på ett sätt som utesluter möjligheten att uppgifterna ändras utan att det går att upptäcka.

16.4.8. Autentisering av webbplatser

Krav på kvalificerade certifikat för autentisering av webbplatser finns enligt artikel 45 i bilaga IV. Där specificeras vad certifikaten ska innehålla.

16.5. Elektroniska dokument

Ett elektroniskt dokument får enligt artikel 46 inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att det har elektronisk form.

16.6. Genomförandeakter

Utöver förordningen finns det genomförandeakter som ger kommissionen befogenhet att på ett flexibelt och snabbt sätt kunna komplettera vissa detaljerade aspekter av förordningen. Genomförandebefogenheter bör även tilldelas kommissionen för att säkerställa enhetliga villkor för genomförandet av förordningen. Detta anges i skäl 70–71 till förordningen.

Enligt flera artiklar ska kommissionen inom viss tid anta genomförandeakter för att förtydliga och specificera vissa uppgifter men på många andra ställen i förordningen ges kommissionen möjlighet att anta genomförandeakter.

Nedan följer en förteckning av de genomförandeakter som i skrivande stund har antagits.

Kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

Genomförandebeslutet handlar om förfaranden för att underlätta samarbetet mellan medlemsstaterna, vilket är nödvändigt för att säkerställa interoperabiliteten och säkerheten i system för elektronisk identifiering som medlemsstaterna avser att anmäla eller har anmält till kommissionen. Förfarandena avser särskilt utbyte av information, erfarenheter och god praxis om system för elektronisk identifiering samt undersökning av den relevanta utvecklingen inom sektorn för elektronisk identifiering, sakkunnighetsbedömning av system för elektronisk identifiering och samarbete genom ett särskilt samarbetsnätverk.

Kommissionens genomförandeförordning (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av EU-förtroendemärket för kvalificerade betrodda tjänster

Genomförandeförordningen behandlar EU-förtroendemärket för kvalificerade betrodda tjänster och bilagan till förordningen visar hur det ser ut.

Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

Genomförandebeslutet innehåller tekniska specifikationer för att underlätta ömsesidigt erkännande mellan medlemsstaterna när det gäller avancerade elektroniska underskrifter och avancerade elektroniska stämplar. I beslutets bilaga finns en förteckning över de tekniska specifikationerna.

Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

Genomförandeförordningen innehåller regler om bland annat tekniska minimikrav rörande tillitsnivåer och kartläggning av nationella tillitsnivåer för anmälda medel för elektronisk identifiering som utfärdats inom ramen för anmälda system för elektronisk identifiering, tekniska minimikrav på interoperabilitet, minimuppsättningen av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person, gemensamma standarder för operativ säkerhet och bestämmelser för tvistlösning.

I genomförandeförordningen finns krav, regler och definitioner för noder.

I bilagan till genomförandeförordningen listas minimiuppsättningen av personidentifieringsuppgifter som är unika för en fysisk eller en juridisk person. En minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut: nuvarande efternamn, nuvarande förnamn, födelsedatum samt en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. En minimiuppsättning för en fysisk person kan dessutom innehålla ett eller flera av följande ytterligare attribut: förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön.

En minimiuppsättning av uppgifter för en juridisk person ska innehålla följande obligatoriska attribut: nuvarande juridiska namn och en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. En minimiuppsättning av uppgifter för en juridisk person kan dessutom innehålla ett eller flera ytterligare attribut, t.ex. nuvarande adress, momsregistreringsnummer, skatteregistreringsnummer m.m.

Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

Genomförandeförordningen beskriver specifikationer och övrigt för tillitsnivåerna låg, väsentlig och hög för medel för elektronisk identifiering utfärdade inom ett anmält system för elektronisk identifiering.

I bilagan till förordningen finns specificerat vad som krävs för att uppnå respektive tillitsnivå vid olika skeden i processerna för inskrivning, hantering av medel för elektronisk identifiering, autentisering, hantering och organisation.

Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimi- specifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

Enligt genomförandebeslutet ska medlemsstaterna upprätta, offentliggöra och underhålla förteckningar över betrodda tjänsteleverantörer med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som står under medlemsstaternas tillsyn, liksom uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Dessa förteckningar ska uppfylla de tekniska specifikationer som anges i bilaga I till genomförandebeslutet.

Kommissionens genomförandebeslut (EU) 2015/1984 av den 3 november 2015 om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

I genomförandebeslutet finns bestämmelser om hur medlemsstaterna ska gå till väga för att anmäla ett system för elektroniska identitetshandlingar till kommissionen. Anmälan ska göras på engelska och det ska ske elektroniskt genom det formulär som finns i bilagan till genomförandebeslutet.

Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden

I bilagan till genomförandebeslutet förtecknas de standarder för säkerhetsbedömning av informationsteknikprodukter som gäller för certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter eller kvalificerade anordningar för skapande av elektroniska stämplar i de fall de uppgifter som genereras för skapande av elektroniska underskrifter eller av elektroniska stämplar bevaras i en helt, men inte nödvändigtvis uteslutande, användarskött miljö.

16.7. Fonden för ett sammanlänkat Europa – CEF

Förordningen 1316/20138 reglerar Fonden för ett sammanlänkat Europa (Connecting Europe Facility – CEF). Enligt artikel 1 ska fonden fastställa villkor, metoder och förfaranden för tillhandahållande av finansiellt stöd från unionen till transeuropeiska nät i syfte att främja projekt av gemensamt intresse inom sektorerna för transport-, telekommunikations- och energi infrastruktur och utnyttja potentiella synergieffekter mellan dessa sektorer. En del av fondens program är CEF Digital som arbetar för att möjliggöra en digital inre marknad. CEF Digital beskriver fem centrala byggstenar som tillsammans utgör basen för att uppnå en sådan marknad:9

  • eDelivery som är en digital meddelandetjänst,
  • eID som är elektroniska identitetshandlingar,
  • eInvoicing som är elektronisk fakturering,

8 Europaparlamentets och Rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010. 9 https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/CEF+Digital+Home, 2017-11-07.

  • eSignature som är elektroniska underskrifter,
  • eTranslation som är digital översättning.

På webbplatsen för byggstenen eID finns information om hur frågor om gränsöverskridande identifiering och den digitala marknaden drivs inom EU. Webbplatsen ger ett europeiskt perspektiv på hur systemet är tänkt att fungera.10

På webbplatsen förklaras vilka aktörer som är inblandade i olika skeden, fördelarna eIDAS-förordningen kan medföra, medlemsstaternas arbete och kontaktpunkter, hur man kan ansöka om finansiering och exempel på användningsområden. Vidare finns länkar till olika samarbetsnätverk, instruktioner till tillhandahållare av e-tjänster om hur de kan förbereda sig och till utvecklare av noder samt relevant lagstiftning.

10 https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID, 2017-11-07.

17. Europeiska elektroniska identitetshandlingar i svenska e-tjänster

17.1. Beskrivning av processen

När en användare identifierar sig i en e-tjänst med hjälp av en elektronisk identitetshandling startar en process för att avgöra om användaren ska ges tillträde till tjänsten eller inte. För att släppa in användaren i e-tjänsten kan tillhandahållaren av e-tjänsten kräva bekräftelse på att individen som identifierar sig verkligen är den som den utger sig för att vara. Elektroniska identitetshandlingar kan ge sådan bekräftelse genom ett identitetsintyg. Identitetsintyget innehåller vissa attribut (uppgifter om användaren), t.ex. personnummer. Detta har även beskrivits av utredningen i tidigare kapitel.

Beskrivningen av processen nedan ger en förenklad bild av vad som händer när en användare identifierar sig i en e-tjänst. Avsikten är att visa skillnaderna mellan att en användare identifierar sig med en svensk eller en utländsk elektronisk identitetshandling.

17.1.1. Identifiering med svensk elektronisk identitetshandling

När en användare identifierar sig i en svensk e-tjänst med en svensk elektronisk identitetshandling skickas en begäran om identitetsintyg från tillhandahållaren av e-tjänsten (förlitande aktör) till utfärdaren av den elektroniska identitetshandlingen. Utfärdaren bekräftar identiteten genom att ansvara för att ett identitetsintyg levereras till den förlitande aktören och användaren kan därefter släppas in i e-tjänsten. Ofta köper utfärdaren av den elektroniska identitetshandlingen identitetsintyg från en underleverantör. I praktiken levereras alltså

identitetsintyget då av någon annan än utfärdaren av den elektroniska identitetshandlingen.

17.1.2. Identifiering med utländsk elektronisk identitetshandling

När en användare identifierar sig i en svensk e-tjänst med en utländsk elektronisk identitetshandling kommer processen att se lite annorlunda ut. Användaren får ange att han eller hon vill identifiera sig med en utländsk elektronisk identitetshandling och i vilket land den är utfärdad. Begäran om identitetsintyg skickas via den svenska noden som dirigerar begäran vidare till det valda landets nod. Det valda landets nod skickar begäran om identitetsintyg till den utfärdare som har utfärdat den elektroniska identitetshandlingen i det aktuella landet. Identitetsintyget ska innehålla användarens nuvarande förnamn, nuvarande efternamn, födelsedatum och landets unika iden-

Svensk e-tjänst

Begäran om identitetsintyg

Svensk utfärdare

Leverans av identitetsintyg

?

titetsbeteckning. Det kan också innehålla några ytterligare attribut.1Identitetsintyget levereras tillbaka från utfärdaren via den utländska noden till den svenska noden. Den svenska noden kan antingen leverera identitetsintyget direkt till tillhandahållaren av e-tjänsten eller göra en slagning mot ett framtida kopplingsregister och därefter eventuellt leverera ett berikat identitetsintyg till tillhandahållaren av e-tjänsten. Identitetsintyget är då berikat med användarens svenska person- eller samordningsnummer.

För att få tillgång till svenska offentliga myndigheters e-tjänster krävs i många fall att användaren har ett svenskt person- eller samordningsnummer. De användare som har behov av att använda svenska offentliga myndigheters e-tjänster har troligtvis redan någon relation till Sverige. Därför har de kanske även ett svenskt person- eller samordningsnummer. Det är av intresse för de förlitande aktörerna att veta att de har att göra med en person som har en viss identitet i Sverige. För att uppnå högsta möjliga nivå av säkerhet i kopplingarna mellan utländska elektroniska identitetshandlingar och svenska person- och samordningsnummer och för att de offentliga myndigheternas tillämpning ska bli enhetlig har Skatteverket föreslagit att det ska finnas ett centralt kopplingsregister.2

Om någon försöker identifiera sig med en utländsk elektronisk identitetshandling som inte är godkänd enligt eIDAS-förordningen kommer den utländska nod som frågan om identitetsintyg levereras till inte att kunna besvara frågan eller bekräfta identiteten. De offentliga myndigheterna som tillhandahåller e-tjänster behöver därmed inte själva känna till eller kontrollera vilka utländska elektroniska identitetshandlingar som är godkända. Om de inte får tillbaka ett identitetsintyg som bekräftar identiteten på användaren ska användaren inte släppas in i e-tjänsten.

1 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. 2 Skatteverkets promemoria från den 24 oktober 2016, Koppling mellan europeiska eID-handlingar och svenska personnummer eller styrkta samordningsnummer, dnr 131 184020-16/113.

17.1.3. Skatteverkets rapport, centralt kopplingsregister eller inte?

Konsekvenserna för de svenska offentliga myndigheterna av skyldigheten att erkänna utländska elektroniska identitetshandlingar i sina etjänster kan komma att variera beroende på om det skapas ett centralt kopplingsregister eller inte.

Enligt Skatteverkets förslag om kopplingsregister ska den svenska noden förmedla till den offentliga myndigheten om koppling finns eller inte. De offentliga myndigheterna måste kunna lita på att det är samma person bakom den utländska elektroniska identitetshandlingen som bakom det svenska person- eller samordningsnumret. Annars blir kopplingsregistret inte användbart. För att få en koppling registrerad

Svensk e-tjänst

Begäran om identitetsintyg

Utländsk utfärdare

Leverans av identitetsintyg

(eventuellt berikat)

?

Svensk nod

Utländsk

nod

Kopplingsregister

ska det därför krävas samma grad av säkerhet som vid utfärdandet av en fysisk identitetshandling. Det innebär enligt Skatteverket att koppling kan registreras först efter noggrann kontroll som kan genomföras på tre sätt.

För att få till stånd en elektronisk lösning kan Sverige i bilaterala avtal komma överens med främst de andra nordiska länderna om att den elektroniska identitetshandlingen ska innehålla personnummer eller motsvarande som kan jämföras med redan registrerade uppgifter i folkbokföringsdatabasen. Ett alternativt sätt som också ger en elektronisk lösning är att användaren först identifierar sig med en redan registrerad elektronisk identitetshandling och därefter kopplar ytterligare en elektronisk identitetshandling till sitt personnummer eller styrkta samordningsnummer. För de användare som inte kan få en koppling registrerad elektroniskt finns slutligen alternativet att användaren inställer sig fysiskt för identifiering hos en registrerande offentlig myndighet.

Om det inte finns ett centralt kopplingsregister kommer varje offentlig myndighet att själv behöva ha en beredskap för att göra motsvarande kopplingar. Det varierar mellan de offentliga myndigheterna hur stora säkerhetskrav de har, hur mycket de använder sig av e-tjänster och hur stora flöden av identifiering med utländska elektroniska identitetshandlingar som beräknas strömma in. Enligt Skatteverkets analys kommer det dock att finnas stora behov av ett kopplingsregister hos vissa större offentliga myndigheter.

En stor risk med att inte tillhandahålla ett centralt kopplingsregister är att de offentliga myndigheterna kan göra olika bedömningar av om koppling mellan en utländsk elektronisk identitetshandling och ett svenskt person- eller samordningsnummer ska göras. Användaren kan då släppas in i vissa e-tjänster men inte i andra trots att e-tjänsterna har samma nivå på säkerhetskrav och användaren identifierar sig med samma utländska elektroniska identitetshandling på alla ställen.

Det finns också risk för att varje offentlig myndighet då behöver en egen registerförfattning för att hålla ett eget register när flödet av identifieringar med utländska elektroniska identitetshandlingar ökar.

17.1.4. Personuppgiftsbehandling i processen

I all användning av elektroniska identitetshandlingar förekommer behandling av personuppgifter. I och med ikraftträdandet av dataskyddsförordningen3 ställs nya krav på alla aktörer som utför behandling av personuppgifter. Offentliga myndigheter som har e-tjänster där man hanterar elektroniska identitetshandlingar behöver se över sin beredskap ur den här aspekten. Det gäller även andra aktörer som medverkar i processen vid identifiering med elektroniska identitetshand-

3 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Svenska e-tjänster

Begäran om identitetsintyg

Utländsk utfärdare

Leverans av identitetsintyg

?

Svensk nod

Utländsk

nod

lingar, såsom utfärdare av elektroniska identitetshandlingar och utfärdare av identitetsintyg.

För att ta ställning till vilken aktör som ska ha personuppgiftsansvar behöver redas ut vilka parter som är aktuella, vilka personuppgifter som behandlas, och vem som kan uppfylla kraven som följer med personuppgiftsansvar.

Skatteverket har i sin rapport om kopplingsregister föreslagit att Skatteverket ska vara personuppgiftsansvarig för behandlingar av personuppgifter i kopplingsregistret. Skatteverket har också föreslagit att E-legitimationsnämnden4 ska vara personuppgiftsansvarig för den personuppgiftsbehandling som utförs när noden kontrollerar om en användare förekommer i kopplingsregistret. Utredningen låter dessa förslag ligga som utgångspunkter i fördelningen av personuppgiftsansvar mellan aktörerna. I kommande avsnitt hanteras därför inte personuppgiftsansvar när det gäller kopplingsregistret.

17.2. Konsekvenser för de svenska offentliga myndigheterna av att erkänna europeiska elektroniska identitetshandlingar och underskrifter i sina e-tjänster

17.2.1. E-legitimationsnämndens enkäter om myndigheternas beredskap

E-legitimationsnämnden har under åren 2015, 2016 och 2017 gått ut med en enkät till alla statliga myndigheter, kommuner och landsting för att mäta behov av elektroniska identitetshandlingar och i viss mån även betrodda tjänster.5 Syftet har också varit att skapa en tydligare bild av hur statliga myndigheter, kommuner och landsting ligger till i arbetet med att förbereda sig för eIDAS-förordningens krav, samla in deras frågeställningar och behov samt även sprida kunskap till dem som har svarat på enkäterna.

4 Här förutsätter utredningen att det i praktiken blir den nya digitaliseringsmyndigheten som väntas ta över E-legitimationsnämndens verksamhet fr.o.m. den 1 september 2018 som får personuppgiftsansvar i detta led. 5 www.elegnamnden.se/omoss/enkater , 2017-10-27, E-legitimationsnämndens enkätundersökning för 2017. Enkäten skickades ut till alla 500 registraturer och i juli 2017 hade 146 svar inkommit, varav hälften av svaren var från kommunal sektor och hälften från statliga myndigheter.

Av de svar som har kommit in 2017 drar E-legitimationsnämnden bl.a. följande slutsatser. Den offentliga sektorns transaktionsvolym för elektroniska identifiering och underskrifter går från 148 miljoner 2016 till 178 miljoner 2017. Hos 58 procent av de statliga myndigheterna, kommunerna och landstingen finns e-tjänster där man identifierar sig med hjälp av elektroniska identitetshandlingar men det är åtta myndigheter som står för 98 procent av transaktionerna.

I 40 procent av de offentliga myndigheterna finns e-tjänster där användaren skriver under med elektronisk underskrift men det är fem av de offentliga myndigheterna som står för 98 procent av transaktionerna. Av de berörda har 30 procent skaffat fristående underskrifttjänst. Endast 20 procent av de berörda känner till eIDAS-förordningens krav om erkännande av utländska elektroniska underskrifter.

Enkätsvaren visar också att det finns behov av kvalificerade elektroniska underskrifter, samt behov av elektroniska stämplar och tidsstämplingar.

De tio organisationer som har störst transaktionsvolymer när det gäller elektronisk identifiering och elektroniska underskrifter är Skatteverket, Försäkringskassan, 1177.se, Arbetsförmedlingen, Centrala studiestödsnämnden, Stockholms stad, Pensionsmyndigheten, Bolagsverket, Jönköpings kommun och Sundsvalls kommun.

De eIDAS-relaterade frågorna visar att ungefär tre fjärdedelar av de berörda svarande myndigheterna känner till eIDAS-förordningen och det är få som har påbörjat arbetet med att förbereda för att kunna erkänna utländska elektroniska identitetshandlingar och underskrifter i sina e-tjänster. Endast 40 procent av de berörda svarande offentliga myndigheterna planerar att hinna i tid med förberedelsearbetet till tredje kvartalet 2018.

Som exempel på möjliga framtida användningsområden för europeiska elektroniska identitetshandlingar anges:

  • Ansökan om kontaktfamilj, familjehem, språkvän,
  • Ansökan om stipendium,
  • Beställa betyg,
  • Ansökan om arbetstillstånd,
  • Inrapportering till Finansinspektionen,
  • Utländska jägare,
  • Ansöka om elektronisk identitetshandling inom högskolesektorn,
  • Tillstånd om att få ställa ut container och annat begagnande av offentlig plats,
  • Ansöka om tillstånd för skolverksamhet,
  • Intresseanmälningar av olika slag,
  • Lämna synpunkter, göra felanmälan,
  • Boka lokal.

De offentliga myndigheter som har svarat på frågor om framtida tänkbara transaktionsvolymer av utländska e-legitimeringar bedömer att dessa kommer att öka stort under de närmaste åren.

17.2.2. Vad säger de offentliga myndigheterna själva?

Utredningen har under utredningstiden träffat företrädare för offentliga myndigheter av olika slag och storlek för att få en uppfattning om vad de själva ser för konsekvenser av eIDAS-förordningens krav. Utredningen har även i oktober 2017 skickat ut en enkät till ett tjugotal offentliga myndigheter som har påbörjat sitt förberedelsearbete. Av svaren framkommer bl.a. följande.

Konsekvenserna av eIDAS-förordningen varierar beroende på de offentliga myndigheternas verksamhet, storlek och digitaliseringsgrad men också på hur de organiserar sin anpassning. Det finns flera exempel på kommuner som har gått samman, tio–tolv stycken, i geografisk närhet och med liknande storlek och förutsättningar i övrigt, och i gemensamma upphandlingar köpt elektronisk identifiering. Denna form av samarbete bedöms av de inblandade fungera mycket bra och underlättar både kostnads- och kompetensmässigt.

En direkt konsekvens för de tillfrågade offentliga myndigheterna är behovet av att anpassa sina berörda e-tjänster. Det kräver insatser av befintliga resurser som t.ex. kravanalytiker, experter och utvecklare samt inom informationssäkerhet och juridik.

Flera offentliga myndigheter efterfrågar besked om huruvida regeringen avser att gå vidare med utvecklingen av ett centralt kopplingsregister eller Skatteverkets förslag om kopplingsregister. Konsekven-

serna för dessa offentliga myndigheter varierar mycket beroende av om det kommer att finnas en gemensam lösning eller inte.

Konsekvenserna av eIDAS-förordningen medför ökade behov av nationell samordning mellan offentliga myndigheter gällande fler områden, t.ex. gemensam arkitektur, federativa modeller för åtkomst och behörighetsstyrning.

Även harmonisering av viss lagstiftning inom EU bedöms nödvändig, t.ex. dataskyddsförordningen6 möjliggör en samsyn gällande personuppgiftshanteringen i alla medlemsländer. Det inbegriper frågor om lagring av personuppgifter för utländska användare som använder svenska e-tjänster och om utländska användare ska kunna titta på information som är lagrad i svenska register.

I flera avseenden är konsekvenserna svåra att överblicka eftersom det är oklart vilken hållning regeringen kommer att inta till vilken nivå av service svenska offentliga myndigheter ska hålla. Det gäller t.ex. språkliga anpassningar av e-tjänster och information till utländska användare som inte bedöms kunna släppas in i den offentliga myndighetens e-tjänster.

Konsekvenserna beskrivs också medföra möjligheter till förbättring. Offentliga myndigheter kan med hjälp av eIDAS-förordningen ytterligare öka och förenkla utvecklingen av interoperabla e-tjänster, både självbetjänande och helt automatiserade. Det ger även möjlighet att utveckla e-tjänster som är interoperabla internt inom Sverige och externt i och mot EU. Ur ett verksamhetsperspektiv medför eIDASförordningen möjligheter att både billigare och effektivare hantera användare som inte har någon form av svensk elektronisk identitetshandling. Indirekt ger det möjlighet att utveckla e-tjänster som för användaren blir mer självbetjänande och enklare eftersom de offentliga myndigheterna kan bygga användarcentrerade tjänsteportaler. Användaren kan hitta allt från olika leverantörer i en och samma e-tjänst. Detta bygger på att tjänsteleverantörerna har interoperabla funktioner. Digitalisering och automatisering bedöms även frigöra personella resurser hos de offentliga myndigheterna och personalens processspecifika kompetens kan koncentreras till andra delar i en verksamhetsprocess. En konsekvens av förordningen kan bli att de offentliga

6 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

myndigheterna gemensamt levererar e-tjänster till användare där användaren står i centrum och inte de offentliga myndigheterna själva.

Möjlighet till fler e-tjänster kan höja säkerheten avseende vem som äger transaktionen i tjänster som i dag inte har möjlighet att hantera EU-medborgare som inte har svensk elektronisk identitetshandling. Det påpekas även att fler e-tjänster kan innebära en förhöjd risk för bedrägligt beteende gentemot olika offentliga myndigheter, såväl systematiskt som engångsföreteelser.

De offentliga myndigheterna identifierar särskilt en potential för gränsöverskridande e-tjänster i norra Sverige mellan Sverige och Finland, mellan Danmark och Sverige i Skåneregionen, turister i Stockholm samt svenska pensionärer som bor i södra Europa.

17.3. Omfattningen av kravet på erkännande

När det gäller bedömningar av hur förordningstexten ska tolkas är det svårt att förutspå den rättsliga utvecklingen. Utredningen kan analysera vissa frågor, göra avvägningar av alternativa tolkningssätt och även lämna rekommendationer för hur utredningen anser att offentliga myndigheter bör förbereda sig och agera när användare vill identifiera sig i deras e-tjänster med en utländsk elektronisk identitetshandling. Utredningen kan däremot inte med säkerhet veta hur EU-domstolen kommer att agera i eventuella framtida tvister om hur förordningstexten ska tolkas. Utredningen kan därför inte uttala sig om hur förordningstexten ska tolkas i specifika fall utan på ett mer generellt plan uppskatta de rimliga konsekvenserna av förordningens lydelse.

17.3.1. Vem ska erkänna den elektroniska identitetshandlingen?

Utredningen bedömer:

att varje offentlig myndighet som tillhandahåller en e-tjänst får

avgöra om en elektronisk identitetshandling ska erkännas eller inte.

I artikel 6 i eIDAS-förordningen står det att medel för elektronisk identifiering som utfärdats i en annan medlemsstat under vissa för-

hållanden ska erkännas i den första medlemsstaten för gränsöverskridande autentisering för att få åtkomst till en nättjänst. Det specificeras inte vem som har skyldighet att erkänna den elektroniska identitetshandlingen. Det kan vara medlemsstaten i fråga eller varje myndighet i medlemsstaten.

Det finns inte någon central funktion för erkännande i Sverige. Det har enligt utredningens vetskap inte heller lyfts några förslag om en sådan funktion. I praktiken blir det därför varje e-tjänst eller offentlig myndighet bakom e-tjänsten som kommer att ställas inför ställningstagandet att erkänna den elektroniska identitetshandlingen eller inte. Eftersom det är tydligt specificerat vilka elektroniska identitetshandlingar som ska erkännas blir det inget svårt ställningstagande att göra.

Om de offentliga myndigheterna i Sverige är dåligt förberedda när användare med europeiska elektroniska identitetshandlingar vill identifiera sig är det möjligt att EU-kommissionen på något sätt anmodar Sverige att se till att de offentliga myndigheterna kan erkänna europeiska elektroniska identitetshandlingar.

17.3.2. När krävs det att utländska elektroniska identitetshandlingar ska erkännas?

Utredningen bedömer:

att utländska godkända elektroniska identitetshandlingar ska er-

kännas när det enligt svensk rätt eller den offentliga myndighetens administrativa förfaranden krävs en elektronisk identitetshandling för att få åtkomst till en e-tjänst som tillhandahålls av den offentliga myndigheten.

Enligt artikel 6 om ömsesidigt erkännande ska utländska godkända elektroniska identitetshandlingar erkännas när det enligt nationell rätt eller nationella administrativa förfaranden krävs elektronisk identitetshandling för att få åtkomst till en e-tjänst som tillhandahålls av ett offentligt organ.

Om det finns nationella författningskrav på att elektronisk identitetshandling ska användas för att få åtkomst till e-tjänsten ska alltså även utländska elektroniska identitetshandlingar erkännas. Dessutom måste de offentliga myndigheterna avgöra när det ska krävas

elektronisk identitetshandling för att få åtkomst till en e-tjänst. Nationella administrativa förfaranden är inget formaliserat begrepp utan borde enligt utredningens mening innebära att varje offentlig myndighet analyserar behovet av säkerhet vid identitetskontroll av användaren. I e-tjänster som inte har höga säkerhetsbehov kan man använda sig av andra inloggningsmetoder såsom användarnamn och lösenord. Vid inloggning till sådana e-tjänster krävs inte elektronisk identitetshandling och följden borde således bli att det inte heller uppstår något krav på att erkänna utländska elektroniska identitetshandlingar i sådana e-tjänster.

Det finns exempel på e-tjänster hos offentliga myndigheter där det är valfritt för användaren att identifiera sig med elektronisk identitetshandling eller logga in med användarnamn och lösenord. Inte heller i dessa fall bör det enligt utredningens mening uppstå ett krav på erkännande av utländska elektroniska identitetshandlingar eftersom det inte krävs elektronisk identitetshandling för att få åtkomst till e-tjänsten i fråga.

17.3.3. Vad innebär erkännandet?

Utredningen bedömer:

att målsättningen bör vara att erkännande av utländska elektroniska

identitetshandlingar i svenska offentlig myndigheters e-tjänster innebär att – utan att göra avsteg från säkerhetsmässiga hänsynstaganden – ge användaren tillgång till de e-tjänster hon eller han har behov av.

att erkännandet ska avse identifieringen men inte den slutliga

åtkomsten till e-tjänsten.

att om användaren inte ges tillträde till e-tjänsten ska ett er-

kännande ändå alltid innebära att den offentliga myndigheten hälsar användaren välkommen och informerar om vad som gör att användaren inte kan ges tillträde och vad som krävs för att kunna ges tillträde. Användaren bör också alltid kunna hänvisas till analog service med sitt ärende.

Det finns olika uppfattningar i medlemsstaterna om vad det ömsesidiga erkännandet innebär. Att erkänna en elektronisk identitetshandling kan innebära att användaren hälsas välkommen till den

offentliga myndighetens e-tjänst men att där inte finns något i övrigt som användaren kan nyttja. Att erkänna en elektronisk identitetshandling kan också innebära att ge användaren full rätt att utnyttja alla e-tjänster som den offentliga myndigheten erbjuder mot krav på identifiering med elektronisk identitetshandling.

Utredningen anser att målsättningen bör vara att erkännande av utländska elektroniska identitetshandlingar i svenska offentliga myndigheters e-tjänster innebär att – utan att göra avsteg från säkerhetsmässiga hänsynstaganden – ge användaren tillgång till de e-tjänster hon eller han har behov av.

I skäl 14 till eIDAS-förordningen anges att principen om ömsesidigt erkännande endast bör avse autentisering för en nättjänst. Åtkomsten till nättjänsten och dess slutliga leverans till användaren bör vara nära kopplad till rätten att ta emot sådana tjänster enligt villkoren i nationell lagstiftning.

En användare med svensk elektronisk identitetshandling har inte användning av alla svenska e-tjänster och får därför inte tillgång till allt trots att den elektroniska identitetshandlingen erkänns av den offentliga myndigheten. Det kan gälla e-tjänster i en kommun som användaren inte har någon koppling till eller specifika e-tjänster enbart för användare som har en relation med en offentlig myndighet av någon särskild anledning. Användaren behöver inte tillgång till Skatteverkets e-tjänster för egenföretagare om hon eller han inte har något eget företag eller Försäkringskassans e-tjänster för föräldrar om hon eller han inte är förälder.

På samma sätt kan offentliga myndigheter begränsa användare med utländska elektroniska identitetshandlingar om det inte finns någon relation som visar att användaren har behov av att använda en e-tjänst. En sådan relation kan visas genom ett svenskt personnummer eller styrkt samordningsnummer.

De offentliga myndigheterna behöver också analysera sin roll och sina e-tjänster när det kommer till säkerhet. Offentliga myndigheter som är utbetalande eller vars e-tjänster är ett led i en kedja som leder till en utbetalning måste naturligtvis vara extra vaksamma. Frågan är här vad skyldigheten att erkänna utländska elektroniska identitetshandlingar innebär i förhållande till den offentliga myndighetens egna säkerhetskrav. Utgångspunkten bör enligt utredningens mening vara att de godkända utländska elektroniska identitetshandlingarna jämställs med de svenska som den offentliga myndigheten redan hanterar.

I svenska offentliga myndigheters e-tjänster med höga säkerhetskrav måste användaren ha ett svenskt personnummer eller styrkt samordningsnummer. Det svenska personnumret bekräftas genom identitetskontrollen via den elektroniska identitetshandlingen. Om användaren med en utländsk elektronisk identitetshandling kan bekräfta ett svenskt personnummer på motsvarande sätt bör användaren kunna nyttja e-tjänsten. För detta behöver en koppling mellan den utländska elektroniska identitetshandlingen och det svenska personnumret göras med mycket hög grad av säkerhet.

I de fall användaren inte har något svenskt personnummer eller inte med tillräcklig säkerhet kan bekräfta det använda personnumret kan kravet på erkännande enligt utredningens mening inte innebära att användaren ska ges tillträde till e-tjänsten.

Kravet på erkännande bör ändå i praktiken leda till att den svenska offentliga myndigheten hälsar användaren välkommen och informerar om vad som gör att användaren inte kan ges tillträde och vad som krävs för att kunna ges tillträde. Användaren bör också i förekommande fall kunna hänvisas till den instans som kan hjälpa till med t.ex. en koppling.

Detta är i praktiken det som brukar benämnas väntrum i eIDASsammanhang. Utredningens uppfattning är att det är viktigt att dessa väntrum inte blir återvändsgränder utan att användaren får den information som behövs för att kunna ta ärendet vidare.

Frågan om vad erkännandet innebär har analyserats i olika sammanhang. I Sverige är, enligt utredningens mening, den allmänna uppfattningen att erkännandet ska avse identifieringen men inte den slutliga åtkomsten till e-tjänsten. Det har även beskrivits i eSams vägledning.7 I de övriga medlemsstaterna förekommer dock andra tolkningar av begreppet erkännande.

7 eSam:s vägledning, Juridisk vägledning för införande av e-legitimering och e-underskrifter, s. 57 f.

17.3.4. Vad säger de andra medlemsstaterna?

Utredningen har under utredningstiden träffat företrädare för några av de andra medlemsstaterna8 bland annat för att få en bild av deras uppfattning om hur eIDAS-förordningen ska tolkas och vad de ser för konsekvenser av eIDAS-förordningens krav. Utredningen har även i oktober 2017 skickat ut en enkät till ett tiotal medlemsstater vars system liknar de svenska eller som har kommit långt i sitt förberedelsearbete. Av medlemsstaternas svar framkommer bl.a. följande.

Danmark

Danmark håller på att utveckla en eIDAS-nod som alla offentliga organ kan ansluta till. Den blir en del av den nationella digitala infrastrukturen. Man är också i färd med att analysera hur en central kopplingsfunktion kan byggas upp.

I Danmark avser man att utveckla ett gemensamt centralt väntrum för utländska användare. Detta arbete är dock fortfarande i analysstadiet. Det kan komma att bli två väntrum, ett för privatpersoner och ett för företag. Väntrummet är tänkt för myndigheter som har etjänster och som inte vill hantera väntrumsfrågan individuellt.

Det kommer att bero på varje myndighet som har e-tjänster vilka språkanpassningar som ska göras. Vissa affärsorienterade e-tjänster kommer troligtvis att översättas till polska, tyska och andra språk. De flesta kommer troligtvis översättas till engelska.

I Danmark är folkbokföringssystemet förhållandevis likt det svenska med mycket beständiga s.k. CPR-nummer (motsvarighet till personnummer) och E-nummer (motsvarighet till samordningsnummer). Det är ännu inte bestämt om pseudonymer kommer att användas eller inte. Det är heller inte avgjort hur beständigt det danska personidentifieringsnumret kommer att vara. Men det är inte troligt att danskar ska kunna ha mer än ett identitetsnummer.

Danmark kommer inte att anmäla sin nationella elektroniska identitetshandling inom de närmsta åren eftersom man håller på att implementera ett nytt system för elektroniska identitetshandlingar.

8 När utredningen använder begreppet medlemsstaterna avses även Norge, Island, Lichtenstein och Schweiz som har skrivit avtal om att också få ingå i regelverket.

Finland

I Finland är det obligatoriskt enligt lag att alla offentliga organ använder befolkningsregistrets officiella lösning för elektronisk identifiering. Fr.o.m. september 2018 kommer befolkningsregistret i Finland att skicka utländska användares attribut enligt eIDAS-förordningen till de myndigheter som klarar och behöver ta emot dessa användare.

Finland kommer att ha en speciallösning för de myndigheter som inte hinner förbereda sig i tid genom att använda säker elektronisk post speciellt till de utländska användare som vill ha tillträde till dessa e-tjänster.

Finland avser inte att utveckla någon särskild kopplingslösning till sitt nationella identitetsnummer. Man har i Finland startat ett projekt för att utveckla nästa generations identitetsnummer som ska inkludera biometri för att förebygga identitetsstölder. Finland anser sig inte ha kapacitet att klara en central kopplingsservice, vare sig för utländska användare eller för finska användare som bor utomlands. Koppling får i stället utföras lokalt av varje tillhandahållare av e-tjänst efter deras respektive behov.

Man planerar inte heller något centralt väntrum. Myndigheterna ska agera enligt befintliga regler och förfaranden för att tilldela finska identitetsnummer till icke-medborgare.

Varje myndighet som har e-tjänster får även själv bestämma vilka språk som ska finnas. Alla myndigheters e-tjänster är redan tvåspråkiga och ska finnas på finska och svenska.

Finland kommer inte att använda pseudonym. Man väntar sig att medlemsstaterna behandlar information om identitetsnummer konfidentiellt och i enlighet med dataskyddsförordningen.

Det finska identitetsnumret är mycket beständigt och ändras bara vid t.ex. identitetsstöld eller könsbyte. Det är omöjligt att samma person från Finland har flera identitetsnummer.

Nederländerna

I Nederländerna planerar man att erkänna och ge anmälda utländska elektroniska identitetshandlingar i kombination med att individen har ett holländskt identitetsnummer tillträde till önskade e-tjänster i samma utsträckning som om användaren har en nederländsk elektronisk identitetshandling. Man kommer att erbjuda en pintjänst som

jämför attributen i den utländska elektroniska identitetshandlingen med uppgifter i folkbokföringen. Både minimi- och valfria attribut kommer att jämföras.

I Nederländerna kommer det inte att finnas väntrum. För att få tillgång till en offentlig e-tjänst måste man ha holländskt identitetsnummer (s.k. BSN), tilldelat enligt nederländsk lag. Det innebär att man måste inställa sig fysiskt för identitetskontroll på en myndighet i Nederländerna.

Språkanpassningar diskuteras nu men är ännu inte fastställt vad som ska krävas av respektive myndighet.

Nederländerna kommer att använda sig av pseudonymer. Nederländska personidentifieringsnummer är livslånga i persistens.9 Det är omöjligt att en individ kan ha flera holländska personidentifieringsnummer.

Norge

Utredningen har fått ta del av en norsk rapport från Skatteetaten där frågan om en central kopplingstjänst och det norska förhållningssättet till eIDAS-förordningens krav finns beskrivna.10

En utgångspunkt för det norska anpassningsarbetet är skäl 14 i eIDAS-förorningen enligt vilket kravet om ömsesidigt erkännande bara träffar autentiseringen medan tillträde till e-tjänsterna beror på nationell rätt.

Norge vill utveckla möjligheterna med bilaterala överenskommelser med i första hand de andra nordiska länderna. Man ser dels att det säkerhetsmässigt skulle fungera eftersom de nordiska länderna har liknande system med mycket persistenta identitetsnummer, dels att en stor del av användarbehovet skulle kunna täckas eftersom många av situationerna med gränsöverskridande identifiering kommer att gälla användare som bor i gränstrakter mellan de nordiska länderna.

Det har övervägts om det skulle gå att automatiskt rekvirera s.k. D-nummer (motsvarighet till svenska samordningsnummer) för användare från utvalda samarbetsländer men man har ännu inte kommit

9 Med persistens avses i detta sammanhang att numret ska vara detsamma så att man kan lita på att individen är densamma, helst under hela sin livstid. 10 Skatteetatens rapport, eIDAS-innloggning med europeisk e-ID til norske tjenester, Versjon 1.0.

till något ställningstagande. Se utredningens bedömning av denna fråga i Sverige i avsnitt 17.5.

För de användare som inte har en elektronisk identitetshandling från ett land Norge har ingått ett bilateralt avtal med, väntar inledningsvis väntrum.

Tyskland

Den tyska infrastrukturen är decentraliserad. E-tjänsttillhandahållarna sköter var och en sin egen eIDAS-nod.

Man bedömer att tyska och engelska räcker som språk. I Tyskland används pseudonymer redan nationellt och det är naturligt att göra det också inom vid gränsöverskridande identifiering.

Det finns ingen motsvarighet till personnummer i Tyskland och ingen liknande persistens. Det nationella personidentifieringsnumret kommer därför att ändras varje gång en person byter elektronisk identitetshandling. Man får bara ha en elektronisk identitetshandling åt gången.

Österrike

I Österrike har man erkänt utländska elektroniska identitetshandlingar sedan 2008. Infrastrukturen är därför redan förberedd för eIDASförordningens krav. Inkommande utländska användare registreras i ett kompletterande register och tilldelas ett unikt identifieringsnummer. De får också en pinkod för att man ska kunna identifiera samma person igen.

Österrike ser inget skäl att inte ge utländska användare tillgång till e-tjänster eller registrera i det kompletterande registret baserat på erfarenheter från projekten STORK och STORK 2.0. Det har redan visats att det kan ske automatiskt.

En koppling mellan en utländsk elektronisk identitetshandling och en österrikisk identitet som inte är självklar kan behöva manuell behandling. Det kan gälla t.ex. om det finns flera träffar i det kompletterande registret eller vid andra oklarheter.

Den österrikiska noden klarar engelska och tyska. När det gäller e-tjänsterna får myndigheterna bestämma eftersom det inte regleras av eIDAS-förordningen.

Österrike använder redan pseudonymer också nationellt. Det österrikiska identifieringsnumret är livslångt i persistens. Man kan bara ha ett österrikiskt identifieringsnummer.

17.4. Verksamhetsmässiga konsekvenser

Alla offentliga myndigheter som har e-tjänster behöver i god tid se över sina processer och anpassa sin verksamhet efter eIDAS-förordningens krav så att de kan ta emot användare med europeiska elektroniska identitetshandlingar. Svenska offentliga myndigheter består av en mängd vitt skilda verksamheter. Förutom sina olika uppdrag varierar de t.ex. i storlek, kultur, ekonomiska förutsättningar och digital mognad. Av naturliga skäl varierar det därför också hur långt de offentliga myndigheterna har kommit i sina förberedelser.

17.4.1. De offentliga myndigheterna bör agera försiktigt

Utredningen bedömer:

att de offentliga myndigheterna bör avstå från att göra egna kopp-

lingar mellan utländska elektroniska identitetshandlingar och svenska person- och samordningsnummer.

Som tidigare har beskrivits ovan bör medvetenhet om informationssäkerhet prägla de offentliga myndigheternas anpassningar och beredskap. I varje steg av anpassning måste de offentliga myndigheterna analysera eventuella risker och konsekvenser av förändringen.

Utredningen anser att de offentliga myndigheterna bör avstå från att göra egna kopplingar mellan utländska elektroniska identitetshandlingar och svenska person- eller samordningsnummer. De offentliga myndigheterna får uppgifter om användarens för- och efternamn samt födelsedatum i identitetsintyg. Om de även begär att användaren ska ange sitt svenska person- eller samordningsnummer kan den offentliga myndigheten själv göra en jämförelse med uppgifter ur folkbokföringen (via Navet). Därefter kan den offentliga myndigheten bedöma om den vill ge användaren tillträde till e-tjänsten. Om uppgifterna stämmer överens kan det vara lockande att släppa in användaren i e-tjänsten.

Av säkerhetsskäl som har beskrivits av Skatteverket i sin rapport om kopplingsregister11 och även finns återgivna ovan menar utredningen dock att detta förfarande kan medföra stora risker. Innan det finns en central kopplingstjänst med erforderlig säkerhetsnivå för att koppla samman utländska elektroniska identitetshandlingar med svenska person- och samordningsnummer bör de offentliga myndigheterna inte ge användarna tillträde till de e-tjänster som kräver svenskt person- eller samordningsnummer.

17.4.2. Vad berörda offentliga myndigheter behöver göra

Utredningen bedömer:

att varje statlig myndighet, kommun och landsting som tillhanda-

håller e-tjänster som kräver elektronisk identifiering behöver förbereda följande steg:

  • Planera för e-tjänsternas delar,
  • Förbereda meddelande om att den europeiska elektroniska identitetshandlingen är erkänd,
  • Påbörja den tekniska integrationen,
  • Avgöra vem som får göra vad i e-tjänsten,
  • Överväga hur e-tjänsterna ska hantera det europeiska personidentitetsbegreppet,
  • Förbereda informationsmeddelande om den svenska offentlighetsprincipen,
  • Anpassa e-tjänstens språk, åtminstone så att den erbjuds på engelska,
  • Informera berörda om eventuella förändringar.

11 Skatteverkets promemoria från den 24 oktober 2016, Koppling mellan europeiska eID-handlingar och svenska personnummer eller styrkta samordningsnummer, dnr 131 184020-16/113.

Det finns vägledning från Fonden för ett sammanlänkat Europa i hur de offentliga myndigheterna kan gå tillväga för att förbereda sig för att ta emot europeiska elektroniska identitetshandlingar.12

Det de offentliga myndigheterna behöver göra för att förbereda sig har i flera sammanhang beskrivits av E-legitimationsnämnden som har i uppdrag att informera och bistå den offentliga sektorn i frågor om elektroniska identitetshandlingar både i Sverige och inom ramen för eIDAS-förordningen. Nedanstående lista är hämtad bl.a. från E-legitimationsnämndens material.13 Den kan användas som checklista för berörda offentliga myndigheter.

Planera för e-tjänsternas delar

Varje e-tjänst behöver kunna göra det möjligt att identifiera sig med en europeisk elektronisk identitetshandling. Det ordnas lämpligen genom att lägga till ”Foreign eID” som identifieringsalternativ där det är möjligt för användare att identifiera sig med svenska elektroniska identitetshandlingar.

E-tjänsterna behöver även kunna ställa ut en begäran om identitetsintyg för att skicka via den svenska och den utländska noden till den utländska utfärdaren av den elektroniska identitetshandlingen.

E-tjänsterna behöver därefter kunna ta emot identitetsintyg som skickas tillbaka från den utländska utfärdaren via den utländska och den svenska noden.

Slutligen behöver e-tjänsterna kunna meddela användaren att den elektroniska identitetshandlingen är accepterad (erkänd).

Meddelande om att den elektroniska identitetshandlingen är erkänd

Tillhandahållarna av e-tjänster behöver förbereda ett standardiserat textmeddelande som kan visas upp för användare som identifierar sig (autentiseras) med en eIDAS-erkänd europeisk elektronisk identitetshandling, men där behörighet till e-tjänsten saknas. Ett exempel kan

12 https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/Connect+a+public+or+ private+online+service+-+Overview, 2017-11-07. 13 E-legitimationsnämnden, Introduktion till eIDAS, dnr. 131 151182-16/9517, den 19 augusti 2016.

vara om e-tjänsten endast kan hantera användare som har svenska personnummer och ett centralt register för koppling till sådant personnummer saknas vid inloggning i e-tjänsten.

Påbörja den tekniska integrationen

E-tjänsterna (och e-tjänsternas eventuella integrationslager) behöver ta teknisk höjd för eIDAS-förordningen. E-legitimationsnämnden tillhandahåller testmiljöer och kan bistå i anpassningsarbetet.

Avgör vem som får göra vad i e-tjänsten

Tillhandahållare av e-tjänster behöver planera för vilka uppgifter (attribut) som behövs för att kunna avgöra användarens behörighet, och hur uppgifterna ska hämtas in, när användaren identifierar sig med en europeisk elektronisk identitetshandling.

Det är viktigt att de offentliga myndigheterna inte avslutar de analoga möjligheter till service som redan finns. Om användaren inte kan ges tillträde till e-tjänsten bör de offentliga myndigheten informera om hur användaren ska göra för att utföra sina ärenden analogt genom att erbjuda eventuella blanketter och kontaktmöjligheter.

Personidentitetsbegrepp i utländska elektroniska identitetshandlingar

Personidentitetsbegreppet i det utländska identitetsintyget är unikt och pekar på endast en individ. Däremot kan en individ med flera elektroniska identitetshandlingar ha flera olika personidentitetsbegrepp. Många svenska e-tjänster har lagstadgade krav på att användaren ska ha svenskt personnummer eller samordningsnummer. En individ med svenskt samordningsnummer eller personnummer kan ha en utländsk elektronisk identitetshandling.

Tillhandahållare av e-tjänster behöver överväga hur e-tjänsterna ska hantera det utländska personidentitetsbegreppet som kommer med i autentiseringen. Eventuellt kommer det att finnas ett centralt kopplingsregister för att underlätta för tillhandahållarna av e-tjänster att koppla samman det utländska personidentitetsbegreppet med ett

svenskt personnummer eller styrkt samordningsnummer men innan det är på plats anser utredningen att de offentliga myndigheterna bör agera försiktigt, se avsnitt 17.4.1.

Förbered informationsmeddelande om den svenska offentlighetsprincipen

Enligt den svenska offentlighetsprincipen ska alla ha rätt att ta del av allmänna handlingar som inte är sekretessbelagda. Med allmän handling menas varje handling, tryckt eller elektronisk, som är förvarad hos en offentlig myndighet, samt har inkommit till den offentliga myndigheten utifrån eller har upprättats inom den offentliga myndigheten. I Sverige gäller som huvudregel att offentlighet råder för individers identitetsbegrepp, t.ex. personnummer och namn. Det innebär att vem som helst kan begära ut information där det förekommer identitetsbegrepp kopplade till andra individer än de själva.

I många av de andra medlemsstaterna är regleringen annorlunda. Där behandlas identitetsbegrepp med sekretess och användare från dessa länder kanske utgår från att behandlingen är densamma i Sverige. Därför anser utredningen att det innan identifieringsprocessen startar behöver finnas ett kort informationsmeddelande (standardiserat textmeddelande) om offentlighetsprincipen i Sverige i de e-tjänster som ska erkänna europeiska elektroniska identitetshandlingar.

Offentlighetsprincipen gäller naturligtvis redan i motsvarande analoga flöden. De offentliga myndigheterna borde därför även tillhandahålla informationen så att den når de individer som inte använder e-tjänsterna.

Överväg e-tjänstens språk

I eIDAS-förordningen regleras inte vilka språk e-tjänster ska erbjuda. Här behöver tillhandahållarna av e-tjänster analysera hur man bäst kan hjälpa sina användare. Som första steg anser utredningen att man behöver se till att e-tjänster som erbjuds användare med europeiska elektroniska identitetshandlingar finns på engelska.

I artikel 2 i kommissionens genomförandebeslut 2015/296 anges att samarbetsspråket ska vara engelska om inte annat överenskommits med den berörda medlemsstaten. Det handlar där om inrättande

av förfaranden för samarbete mellan medlemsstaterna, men det säger åtminstone något om vad som anses vara förstahandsval av språk mellan medlemsstaterna i eIDAS-sammanhang.

Därefter kan man utgå från de behov som väntas i respektive e-tjänst. Olika tillhandahållare kan vänta sig användare med olika språkfärdigheter.

Informera berörda

Tillhandahållare av e-tjänster behöver planera kommunicering av förändringarna till alla berörda målgrupper.

17.4.3. Hur kan de offentliga myndigheterna erbjuda ännu bättre service?

Utredningen bedömer:

att de offentliga myndigheterna därefter kan vidareutveckla sin

service gentemot utländska användare genom att:

  • Fortsätta utveckla funktioner,
  • Bygga vidare på servicen till de som inte ges tillträde,
  • Erbjuda mer information på fler språk.

Efter att de offentliga myndigheterna vidtagit de åtgärder som är nödvändiga enligt det förra avsnittet bör de enligt utredningens mening överväga hur de kan erbjuda ännu bättre service till sina respektive användare. Det kräver individuella analyser genom t.ex. brukarundersökningar av varje verksamhet för att ta ställning till hur den offentliga myndigheten i fråga bäst hjälper de användare som är intresserade av deras e-tjänster.

Fortsätt utveckla funktioner

Med vetskap om vilka utländska användare som identifierar sig i e-tjänsterna och vad de har för behov kommer de offentliga myndigheterna att kunna utveckla sin servicenivå ytterligare. De kommer att kunna göra olika val av nivå för anpassning av funktioner på t.ex. mina sidor samt för olika verktyg och guider som riktas till användarna.

Bygg vidare på servicen till de som inte ges tillträde

Likaså när det gäller användare som inte kan ges tillgång till e-tjänsterna finns det möjlighet, med ökad kunskap om dem, att utveckla servicegraden gentemot dem. Det kan gälla hänvisningar om var de kan vända sig för fortsatt hjälp eller utökat material med blanketter eller liknande tillgängligt direkt på webbplatsen.

Erbjud mer information på fler språk

Efter att ha sett till att tillhandahålla en basnivå av information och e-tjänster på engelska bör offentliga myndigheter göra en djupare analys av språkbehoven i just deras e-tjänster.

Det kan förekomma olika språkbehov beroende av användarens val av språk, användarens val av elektronisk identitetshandling eller vad användaren verkligen vill göra i e-tjänsten. Från vilka länder kommer användarna? Vad har de för språkkunskaper? Vilket språk väljer de själva? Är många av användarna med europeiska elektroniska identitetshandlingar utlandsboende svenskar med goda kunskaper i svenska? För att möta användarnas behov krävs individuella analyser hos varje enskild offentlig myndighet som tillhandahåller e-tjänster.

Både EU-kommissionen och Google erbjuder översättningsverktyg som offentliga myndigheter kan använda för att anpassa sina etjänster. Utvecklingen av sådana översättningsverktyg går snabbt och kvalitén förväntas snart nå sådana nivåer att offentliga myndigheter inte behöver använda sig av manuell översättning.

Webbplatsen verksamt.se har låtit konsultföretaget Stelacon analysera språkbehovet för sina e-tjänster. Stelacon har därefter sammanställt tre konkreta rekommendationer på vad som skulle komplettera webbportalen verksamt.se på bästa sätt. Detta så att företagare från

andra EU-länder inte bara skulle förstå det svenska systemet bättre, utan även få tydligare information hur det fungerar att driva företag och sälja tjänster i Sverige. Rekommendationerna utgår från förutsättningarna för verksamt.se men utredningen anser ändå att de kan vara av värde även i andra offentliga myndigheters analyser av sina språkbehov.

Mer information på engelska

Språket är en viktig komponent som företagare för att både kommunicera med kunder och relevanta myndigheter samt ta del av viktig information på ett effektivt sätt. De intervjuade företagarna indikerar att engelska är tillräckligt som språk, men att mer information bör finnas på engelska för att göra mer information tillgänglig. Stelacon rekommenderar att utöka informationsmängden som finns tillgänglig på engelska.

Enkel och orienterande information

Företag efterfrågar information som är lika enkel att förstå som enkel att hitta. Steg för steg-guider tycker företagare är ett bra och vägledande sätt att ta till sig information. Verksamt.se har flera guider av den typen, och en rekommendation är därför att utöka det utbudet, framför allt för processen att skaffa personnummer och bankkonto där många företag har problem.

I tillägg till steg för steg-guider kan olika mallar vara ett bra komplement. Dessa mallar kan hjälpa företagarna när de ska utforma exempelvis fakturor till sina kunder eller sin F-skattsedel.

Bättre marknadsföring av verksamt.se

Sju av de elva intervjuade företagarna känner till webbportalen verksamt.se. Av dessa har fyra använt sig av information på sidan och de är väldigt nöjda. Det finns därmed utrymme att både öka kännedomen om verksamt.se och öka användningen av webbplatsen.

Stelacon rekommenderar därför en utförlig marknadsföringsstrategi för den engelska versionen av verksamt.se.14

17.4.4. Regeringen ska utse färdledande offentliga myndigheter

Utredningen föreslår:

att regeringen utser ett antal färdledande offentliga myndigheter

som i sitt agerande kan hjälpa andra offentliga myndigheter att anpassa sig till eIDAS-förordningens krav och möjligheter.

För att skapa ytterligare vägledning till de offentliga myndigheterna föreslår utredningen att regeringen ska utse ett antal färdledande offentliga myndigheter som kan visa vägen och bistå andra liknande offentliga myndigheter med kunskap och erfarenhetsutbyte.

Det är viktigt att de offentliga myndigheterna representerar olika verksamhetssektorer och är av olika storlek. De färdledande offentliga myndigheterna behöver alla ha uppnått en viss mognad i digitaliseringsfrågor och dessutom ha kompetens och möjligheter att dela med sig av erfarenheter och expertis.

De färdledande offentliga myndigheterna behöver utgöras av minst en större statlig myndighet med mycket medborgarkontakt och väl utvecklade e-tjänster, någon statlig myndighet med lite mindre flöden t.ex. en länsstyrelse, ett landsting, en större kommun och en mindre.

De offentliga myndigheter som utses bör samverka om att ta fram material och stöd. Digitaliseringsmyndigheten kan också vara behjälplig i detta arbete.

14 Behovsanalys för engelskspråkiga sidorna på verksamt.se, en studie av Stelacon efter uppdrag från Tillväxtverket.

17.5. Bör processen för tilldelning av samordningsnummer till utländska medborgare på distans automatiseras?

Utredningen bedömer:

att för att uppnå ökad grad av automatisering i processen för

tilldelning av samordningsnummer måste kraven på säker identitetskontroll av de enskilda individerna sänkas eller så behöver samordningsnummersystemet ses över.

Enligt utredningens direktiv15 ska utredaren analysera och lämna förslag på hur processen för tilldelning av samordningsnummer till utländska medborgare på distans genom elektroniska identitetshandlingar kan möjliggöras och automatiseras.

För att kunna ta ställning i denna fråga behövs först en genomgång av vad samordningsnummer är, dess syfte och hur de har utvecklats sedan de infördes.

17.5.1. Vad är samordningsnummer?

Samordningsnumret är konstruerat som ett personnummer men med sifferkombinationer som inte kan förekomma i ett personnummer på så sätt att siffrorna för dag adderas med 60. Motsvarigheten till personnumrets födelsenummer benämns i samordningsnumret individnummer. Kontrollsiffran beräknas med samma metod som beträffande personnumret. En man född den 3 oktober 1970 med individnummer 239 får följande samordningsnummer: 701063-2391.

På motsvarande sätt som personnumren är samordningsnumren unika såtillvida att två identiska samordningsnummer inte förekommer. Om en individ med ett samordningsnummer senare blir folkbokförd ersätts samordningsnumret med ett personnummer.16

I folkbokföringsförordningen17 finns bestämmelser om tilldelning av personnummer och samordningsnummer. Skatteverket får tilldela samordningsnummer på begäran av en statlig myndighet eller

15 Dir. 2016:39. 16Prop. 2008/09:111 s. 27 f. 17 SFS 1991:749, FOF.

en utbildningsanordnare som har tillstånd att utfärda vissa examina18och som i sin verksamhet behöver ett samordningsnummer för en individ för att undvika personförväxling eller för att utbyta information om individen med andra offentliga myndigheter eller organisationer. Skatteverket kan också på eget initiativ tilldela samordningsnummer för registrering i beskattningsdatabasen.19

Samordningsnummer får tilldelas en individ om det inte råder osäkerhet om dennes identitet. I vissa fall kan dock samordningsnummer tilldelas ändå, bl.a. om det behövs för vissa registreringar inom rättsväsendet, för registrering i beskattningsdatabasen eller för registrering i Migrationsverkets verksamhetsregister när det gäller individer som omfattas av lagen20 om mottagande av asylsökande m.fl.21 Det är den statliga myndighet eller det organ som begär att en individ ska tilldelas samordningsnummer som ska bedöma om identiteten kan anses fastställd. Skatteverket får meddela närmare föreskrifter om de krav som ska ställas på identifieringen av en individ som ska tilldelas ett samordningsnummer.

En begäran om samordningsnummer ska innehålla uppgift om vilka handlingar som legat till grund för identifieringen och Skatteverket får begära att dessa handlingar lämnas in till Skatteverket.22 Den statliga myndighet som begär ett samordningsnummer ska ange om det råder osäkerhet om någon uppgift som lämnas om individen.23

17.5.2. Skälen för att samordningsnummer infördes

För varje folkbokförd individ fastställs enligt 18 § folkbokföringslagen24 ett personnummer som identitetsbeteckning. En individ som inte är eller har varit folkbokförd får efter begäran från en statlig myndighet tilldelas ett särskilt nummer, samordningsnummer.

Syftet med folkbokföringen har beskrivits i förarbetena till reglerna om samordningsnummer. Folkbokföringens kanske viktigaste uppgift är att för olika samhällsfunktioner tillhandahålla basuppgifter

18 Utfärdare enligt lagen (1993:792) om tillstånd att utfärda examina. 19 5 § FOF. 20 SFS 1994:137. 21 5 a § FOF. 22 Detta gäller dock inte då samordningsnummer ska tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. 23 6 § FOF. 24 SFS 1991:481.

om befolkningen i landet. För att det ska kunna fungera på ett korrekt och fullständigt sätt måste personnummer användas. Ett personnummer som har fastställts efter identitetskontroll motverkar förväxling av individer och öppnar möjlighet för en säker överföring av tillförlitliga personuppgifter mellan olika användare. Bland annat mot den bakgrunden är det, enligt förarbetena, naturligt att personnummer används inom folkbokföringen.

Bestämmelser om samordningsnummer infördes den 1 januari 2000 eftersom personnummer då reserverades för individer som är folkbokförda i Sverige. Tidigare tilldelades personnummer även till de individer som inte var folkbokförda. Den som rekvirerade personnummer för individer som inte var folkbokförda skulle ange om identiteten hade styrkts med pass eller annan handling. Det ankom alltså på den rekvirerande myndigheten att göra identitetskontrollen.

Som skäl för införandet av samordningsnummer anfördes bland annat att ett system med enhetliga personbeteckningar kan behövas även utanför folkbokföringen. Tilldelningen av personnummer utan koppling till folkbokföring grundades på att flera statliga myndigheter ansåg sig behöva ett gemensamt samordningsbegrepp för bl.a. kommunikation sinsemellan. Registreringen av personuppgifter omfattade ett mycket stort antal individer. Den berörde också viktiga områden, både för individen och samhället. Främst för att olika individer inte skulle förväxlas med varandra hade de statliga myndigheterna ett behov av att använda personnummer eller annan unik personbeteckning för registrerade individer.25

Enligt förarbetena var det otvivelaktigt så att personnumret kunde uppfattas som en sorts inträdesbiljett till samhället. Man ansåg att det kunde ifrågasättas om individer som inte var folkbokförda skulle ha den inträdesbiljett som personnumret innebär. Det kunde också uppfattas som stötande att brottslingar och brottsmisstänkta tilldelades personnummer. Dessa tillhörde också en kategori av individer vars identitet ofta är svår att fastställa. Det var dock inte bara vid registrering inom rättsväsendet som det kunde finnas identifieringssvårigheter. Även för skatteområdet var underlaget för kontroll av en individs identitet i många fall bristfälligt vid tilldelning av personnummer.

25Prop. 1997/98:9 s. 77 f.

Det konstaterades att om identitetskontrollen är otillräcklig kan följden bli att en individ tilldelas mer än ett personnummer. Det leder i sin tur till att individen kan uppträda under flera identiteter och förekomma med skilda nummer i olika register. Därmed försvåras personkontrollen exempelvis vid inresa från utlandet, polisiära ingripanden, lagföring och straffverkställighet. Om en individ har ”dubbla identiteter” finns det också risk för att han eller hon kan uppbära dubbla bidragsförmåner samt undandra sig förpliktelser av olika slag. Regeringen ansåg att tilldelningen av personnummer måste grundas på en identitetskontroll som uppfyller höga anspråk på säkerhet för att tilltron till personnumret som identifikationsbegrepp skulle upprätthållas.26

Det diskuterades vad ett nytt personidentitetsbegrepp skulle kallas och anfördes att av de beteckningar som föreslagits framstod samordningsnummer som bäst. Beteckningen är dock inte främst till för att utvisa en individs identitet varför beteckningen identitetsnummer kan vara missvisande. Registreringsnummer är inte heller bättre. Regeringen föreslog därför att det särskilda numret skulle benämnas samordningsnummer.

Tilldelningen av samordningsnummer skulle i första hand användas för de ändamål för vilka personnummer inte tilldelades. Regeringen såg inga hinder mot att låta även andra statliga myndigheter och verksamhetsområden använda samordningsnummer men det anfördes samtidigt att en utvidgad tilldelning av samordningsnummer endast borde medges om det aktuella verksamhetsområdet behövde numret antingen för att undvika personförväxling eller för uppgiftsutbyte med andra myndigheter.27

När det gäller identifieringskravet anfördes bl.a. följande.28

Det är i likhet med vad som gäller för tilldelning av personnummer viktigt att en persons identitet är klarlagd när samordningsnummer tilldelas. I dag görs kontrollen av en persons identitet i stor utsträckning av den myndighet som rekvirerar personnummer för en person som inte är folkbokförd. Identitetskontrollen bör enligt regeringens mening även fortsättningsvis ligga utanför folkbokföringen. Det är alltså den rekvirerande myndigheten som har att fullgöra den kontrollen och så långt det är möjligt söka fastställa identiteten. Rekvisitionen av samordningsnummer bör alltid innehålla uppgift om underlaget (pass, körkort, kon-

26Prop. 1997/98:9 s. 78 f. 27Prop. 1997/98:9 s. 80. 28Prop. 1997/98:9 s. 82 f.

takter med utländska instanser m.m.) för myndighetens identitetskontroll. Rekvirerande myndighets bedömning av personens identitet och lämnade uppgifter skall också anges. För flertalet myndigheter som kommer att rekvirera samordningsnummer torde det inte heller innebära några problem att en persons identitet skall vara fastställd. För polismyndigheterna och skattemyndigheterna kan det dock innebära vissa komplikationer.

Man fick enligt regeringens mening godta att en individs identitet kunde vara oklar när det gäller tilldelning av samordningsnummer för registrering inom rättsväsendets register och i skatteregister. Samtidigt måste de rekvirerande statliga myndigheterna sträva efter att i största möjliga utsträckning fastställa den enskildes identitet.

Det anfördes vidare att när fråga uppkommer om att tilldela samordningsnummer för persongrupper som inte tidigare hade tilldelats personnummer borde kravet på säker identifiering särskilt uppmärksammas. Regelmässigt borde identitets- och uppgiftskontrollen ligga hos den statliga myndighet som rekvirerar samordningsnumret.29

17.5.3. Utvecklingen av samordningsnummer

Knappt tio år efter att samordningsnummer infördes i Sverige stod samma principer kvar när det bl.a. övervägdes om samordningsnummer skulle bytas ut mot något annat. Regeringen anförde då att i likhet med vad som gäller för personnummer är det viktigt att en individs identitet är klarlagd när han eller hon får ett samordningsnummer. Individens identitet ska därför som huvudregel vara fastställd även för att denne ska kunna tilldelas ett samordningsnummer.

När det gäller individer som ska registreras i beskattningsdatabasen och inom rättsväsendet görs dock undantag från kravet att identiteten ska vara fastställd. Omkring 60 procent av de samordningsnummer som tilldelas under ett år tilldelas individer tillhörande dessa grupper.30

Person- och samordningsnumren är personbeteckningar vars syften huvudsakligen är att undvika personförväxling och att underlätta informationsutbyten om individer. Inga rättsverkningar är direkt knutna till att en individ har en personbeteckning. För att olika be-

29Prop. 1997/98:9 s. 83 f. 30Prop. 2008/09:111 s. 27.

stämmelser ska vara tillämpliga kan det däremot krävas att individen har en viss anknytning till landet. Ofta krävs folkbokföring, det vill säga att individen är bosatt i landet i folkbokföringslagens mening, eller bosatt i landet enligt någon annan definition av bosättning. Det gäller exempelvis för flera socialförsäkringsförmåner. Den som är folkbokförd betraktas normalt som bosatt i landet enligt de definitioner av bosättning som finns och behöver därför oftast inte styrka sin bosättning på något annat sätt. Alla som är eller har varit folkbokförda har ett personnummer.

I folkbokföringsdatabasen registreras ett stort antal uppgifter om individer som folkbokförs och därmed också får ett personnummer. Det finns också en skyldighet för individer och myndigheter att lämna uppgifter om nya eller ändrade förhållanden. Uppgifterna ska normalt vara styrkta för att Skatteverket ska registrera dem. Det är således möjligt för andra aktörer att kontrollera olika uppgifter om individer som är registrerade i databasen. Även individer som inte längre är folkbokförda i landet anmäler i stor utsträckning ändrade uppgifter till Skatteverket, exempelvis om barn som föds i utlandet och om ändrat civilstånd.

Det är däremot få uppgifter som registreras om individer med samordningsnummer, många gånger är uppgifterna inte heller styrkta. Möjligheterna att kontrollera uppgifter om dessa individer är därför mycket mindre. I och med att en stor andel av de individer som får ett samordningsnummer har en mycket svag anknytning till Sverige har de typiskt sett inte heller något intresse av att anmäla ändringar i de registrerade uppgifterna. Personnumret används inom i stort sett alla samhällssektorer. Samordningsnumret är mer okänt och inte lika vedertaget som personbeteckning. I it-stöd finns också hinder som innebär att de inte kan hantera personnummer där siffrorna för dagen överstiger 31.

Det anförs vidare att det huvudsakliga syftet med samordningsnumret även i fortsättningen bör vara att tillgodose de statliga myndigheternas behov av ett enhetligt nummer för att undvika personförväxling och för att utbyta information med andra myndigheter och organisationer om individer som vistas tillfälligt här i landet eller som har rätt till olika förmåner utan att vistas här. Härutöver måste även beaktas samordningsnumrens funktion ur individens perspektiv. Det finns individer med samordningsnummer som vistas i Sverige under en inte helt kortvarig tid och bland dessa finns det individer med ett

starkt behov av att ha en fungerande identitetsbeteckning för att kunna sköta sina vardagliga liv.31

17.5.4. Tilldelning av samordningsnummer

Processen för tilldelning av samordningsnummer går alltså till så att Skatteverket tilldelar samordningsnummer på begäran av någon av de statliga myndigheter som räknas upp i 5 § folkbokföringsförordningen32 för vissa där angivna ändamål.

För att kunna rekvirera samordningsnummer måste den statliga myndigheten i fråga ha rätt att behandla uppgiften om samordningsnummer, antingen med stöd av en särskild registerförfattning eller med stöd av dataskyddsförordningen.33 Kommuner och landsting samt andra företag och organisationer än utbildningsanordnare, exempelvis banker eller försäkringsbolag, ingår inte i kretsen som kan begära tilldelning av ett samordningsnummer. Individen har inte heller själv rätt att begära ett samordningsnummer.

Skatteverket samordnar hanteringen av samordningsnummer. Samtliga tilldelade samordningsnummer ingår i folkbokföringsdatabasen. Uppgifter tas inte bort eller gallras. Det ger möjlighet att kontrollera om individen tidigare har tilldelats ett nummer och minskar risken för dubbla identiteter. Innan ett samordningsnummer tilldelas en individ kontrollerar Skatteverket att individen inte genom tidigare bosättning i landet eller av annan anledning har tilldelats personnummer eller samordningsnummer.

Av Skatteverkets meddelande, Skatteverkets information om begäran om tilldelning av samordningsnummer,34 framgår bl.a. att det måste ställas höga krav på identitetskontrollen vid tilldelning av samordningsnummer. Detta främst med anledning av att en begäran om samordningsnummer kan komma från flera håll och med hänsyn till spridningen av numren i samhället genom SPAR.35 Under förutsätt-

31Prop. 2008/09:111 s. 29 f. 32 SFS 1991:749. 33 Innan maj 2018 med stöd av personuppgiftslagen, SFS 1998:204. 34 SKV M 2010:3. 35 Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som erhållit samordningsnummer och vars identitet är fastställd. Uppgifterna i SPAR uppdateras varje dygn med uppgifter från folkbokföringsregistret. Syftet med SPAR är att lämna ut uppgifter elektroniskt under förutsättning att mottagaren uppfyller vissa villkor.

ning att underlaget är korrekt och fullständigt kommer det inte att finnas mer än ett nummer för individen. Brister i identitetskontrollen kan däremot få till följd att en och samma individ kan få flera samordningsnummer. Det är den rekvirerande statliga myndigheten som har ansvar för att identiteten är kontrollerad. I Skatteverkets meddelande anges vilka uppgifter som krävs för att en individs identitet ska anses vara fastställd och vilka handlingar som ska bifogas. I meddelandet ges också rekommendationer om vad den rekvirerande statliga myndigheten bör beakta vid fastställande av identiteten. Bland annat ska handlingen som ligger till grund för bedömningen visas upp i original eller vidimerad kopia, att denna är utfärdad av en myndighet och innehåller uppgift om en i hemlandet etablerad och registrerad identitet. Handlingen får inte heller vara av alltför enkel beskaffenhet eller lätt att förfalska. Det finns inte något krav på att kontrollen av identiteten ska göras genom ett personligt möte mellan den rekvirerande statliga myndigheten och den som ska tilldelas ett samordningsnummer.

17.5.5. Samordningsnumrens syfte

Samordningsnummer har införts och utvecklats för att myndigheter inom sina respektive verksamheter och sinsemellan ska kunna hantera individer som inte är folkbokförda i Sverige. Myndigheterna behöver veta att det är samma individ som avses oavsett i vilket ärende individen har kontakt med myndigheten. De statliga myndigheter som har rätt att rekvirera samordningsnummer kan också behöva kommunicera med varandra när det gäller dessa individer. Systemet är utformat utifrån de statliga myndigheternas perspektiv och avsikten med samordningsnummer har från början varit att tillgodose de statliga myndigheternas behov, inte individernas.

Det finns därför i dagsläget inte möjlighet för kommuner, landsting, företag eller individer att rekvirera samordningsnummer.

Eftersom det är den rekvirerande statliga myndighetens behov av samordningsnummer som styr tilldelningen är det också den rekvirerande statliga myndigheten som ansvarar för identifieringen av individen. Det är avgörande att identifieringen genomförs med hög kvalitet och att de samordningsnummer som tilldelas, i så hög grad som möjligt, är styrkta. Som systemet är uppbyggt nu måste varje ny aktör

som tillåts rekvirera samordningsnummer också kunna ansvara för identifieringen.

Det har uppmärksammats bl.a. av Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden att samordningsnummer kan användas i bedrägligt syfte. Av utredningens kartläggning framgår t.ex. att flera statliga myndigheter uppmärksammat att falska uppgifter lämnas i syfte att få samordningsnummer som i sin tur kan leda till utbetalningar från välfärdssystemen. 36 Att en individ har tilldelats ett samordningsnummer innebär inte att denne tillförsäkras några rättigheter i sig. Däremot kan det finnas ett behov av samordningsnummer för handläggning av förmåner som ska betalas ut till en individ som inte är folkbokförd i landet men där förutsättningarna för ersättningen i övrigt är uppfyllda.37

17.5.6. Automatisering av processen

Utredningen har i uppdrag att analysera hur processen för tilldelning av samordningsnummer till utländska medborgare på distans genom elektronisk identifiering kan möjliggöras och automatiseras. Beroende av hur man ser på begreppet automatisering kan det redan hävdas att processen är automatiserad. Den kan åtminstone skötas elektroniskt i flera delar.

Processen inleds genom kontakt mellan en utländsk användare och en svensk statlig myndighet. Om användaren har ett svenskt personnummer eller styrkt samordningsnummer kan den statliga myndigheten få vetskap om en relation finns sedan tidigare. Om användaren är i färd med att etablera en relation och den statliga myndigheten anser det behövligt kan den statliga myndigheten rekvirera ett samordningsnummer från Skatteverket. Den statliga myndigheten ansvarar då för att identifiera användaren och Skatteverket bedömer om individen kan tilldelas ett styrkt eller ostyrkt samordningsnummer. Som tidigare beskrivits finns det inte något krav på ett personligt möte för identitetskontrollen mellan den rekvirerande statliga myndigheten och den som ska tilldelas ett samordningsnummer. Den

36SOU 2017:37 Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 248. 37SOU 2017:37 Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 293.

statliga myndigheten kan begära in kopior av identitetshandlingar från den enskilda individen och därefter, baserat på elektroniska kontakter och vad som förekommit i övrigt, vara nöjd med identitetskontrollen och rekvirera ett samordningsnummer.

Skatteverket har utvecklat en e-tjänst för att rekvirera samordningsnummer där den rekvirerande statliga myndigheten skickar in rekvisition och uppvisade handlingar elektroniskt till Skatteverket. Vid användningen av e-tjänsten ska en kopia av underlaget som styrkt identiteten skickas in elektroniskt. Stora statliga myndigheter som rekvirerar många samordningsnummer rekommenderas att använda etjänsten för att slippa postgång och kunna ge snabbare service.

Den identitetskontroll som beskrivs ovan är inte av den kvalitet som önskas för att samhällsfunktionerna ska kunna lita på att samordningsnummersystemet fungerar som det ska. Det påverkar också folkbokföringens förmåga att upprätthålla god registerkvalitet. Det får till följd att ett styrkt samordningsnummer inte är av samma kvalitet som ett personnummer. Kraven på identitetskontrollen behöver därför snarare skärpas än att processen ska skyndas på genom ökad automatisering.

Om samordningsnummersystemet ska kunna stramas upp i önskad grad och samtidigt hålla ett högre tempo behöver systemet ses över och eventuellt göras om till något annat än vad det är i dag. Detta har uppmärksammats både av regeringen, Skatteverket och övriga rekvirerande statliga myndigheter. Skatteverket har lämnat flera förslag om regelförändringar för att öka registerkvaliteten.38

Under sommaren 2017 fick Skatteverket ytterligare ett uppdrag från regeringen för att förbättra kunskapen och informationen om samordningsnummer. I uppdraget ingår också att analysera hur samordningsnummer används i e-tjänster och om det finns behov av informationsinsatser.

När det gäller tilldelning av samordningsnummer ska Skatteverket även utreda om det är lämpligt att ge fler aktörer än för närvarande möjlighet att begära tilldelning av samordningsnummer och i så fall lämna förslag om detta. Som framgår ovan gäller att kommuner, landsting, arbetsgivare, banker och pensionsinstitut inte har möjlighet att

38 Skatteverkets promemoria Samordningsnummer och utländska fastighetsägare – en översyn från den 18 augusti 2014, dnr. 131 430148-14/113 samt Skatteverkets promemoria Samordningsnummer till asylsökande från den 25 april 2016, dnr. 131 176575-16/113.

begära tilldelning av samordningsnummer enligt dagens regler. Uppdraget omfattar även att utreda om EU- och EES-medborgare själva ska kunna begära samordningsnummer för sin egen del. 39

17.5.7. Framtida utveckling av person- och samordningsnummer

Det finns vissa problem med person- och samordningsnummersystemen som de är konstruerade i dagsläget.

Ett välkänt bekymmer är att nummerserierna tar slut. Det har redan inträffat när det gäller vissa datum och författningsändringar har genomförts för att kunna medge att individer tilldelas person- eller samordningsnummer som anger ett annat datum än det datum individen faktiskt är född. Folkbokföringsutredningen lämnade 2008 ett delbetänkande40 där det bedömdes att det var nödvändigt att ändra personnumrets konstruktion för att komma till rätta med bristen på tillgängliga personnummer. Utredningen gick igenom ett antal tänkbara alternativ för hur konstruktionen skulle kunna ändras.

På grund av de stora kostnader en sådan förändring väntades medföra valde regeringen i stället en förändring som innebär att i de fall det saknas födelsenummer för en viss födelsetid får dagen i födelsetiden i stället anges med en födelsedagen närliggande dag i samma månad.41 Den valda lösningen innebar i viss mån att skjuta problemen framåt eftersom nummerserierna tar slut även på närliggande datum.

Ett annat problem handlar om att person- och samordningsnumren är värdebärande. Numren innehåller information om individen i fråga. Ålder, födelsedatum, kön och i vissa fall var individen är född går att utläsa av person- och samordningsnummer. Det kan finnas integritetsskäl för att i stället använda ett nummersystem som är neutralt i dessa avseenden. En aspekt av detta har nyligen beskrivits av Utredningen om stärkt ställning och bättre levnadsvillkor för transpersoner. Utredaren föreslår bl.a. att regeringen ska tillsätta en ut-

39 Regeringens och finansdepartementets uppdrag till Skatteverket för att tillgodose kraven på fri rörlighet för medborgare i Europeiska unionen och Europeiska ekonomiska samarbetsområdet från den 6 juli 2017, dnr. Fi2017/02960/S3. 40SOU 2008:60, Personnummer och samordningsnummer. 41Prop. 2008/09:111, s. 25.

redning i syfte att utreda möjligheten till ett tredje juridiskt kön i Sverige samt därmed ett införande av könsneutrala personnummer.42

Person- och samordningsnummersystemen är en grundbult i det svenska samhället och används av en mängd aktörer i olika syften och sammanhang. Kostnaderna för att ändra konstruktionen av numren eller införa nya system är svåröverskådliga och mycket stora. Bara Skatteverkets kostnader beräknades beroende på vilket alternativ som valdes uppgå till 450 miljoner kronor. Andra stora statliga myndigheter med liknande ärendehantering skulle ha lika stora kostnader.43 Dessa kostnader beräknades då på ett förhållandevis snabbt genomförande. Det handlade om några års tid.

Utredningen konstaterar att frågan om brister i person- och samordningsnummersystemen inte ligger inom utredningens mandat. Det handlar samtidigt om problem som återkommande har visat sig under utredningstiden och som lyfts av flera inblandade statliga myndigheter. Utredningen vill därför i sammanhanget belysa frågan och peka på möjligheten att genomföra en systemförändring på annat sätt än den som tidigare utretts. I Norge arbetar man för närvarande med en liknande systemförändring där man använder en tidsperiod om 20–25 år för att successivt och stegvis kunna ställa om och dessutom få en spridning på kostnaderna så att de ska bli mer hanterliga.

17.6. Rättsliga konsekvenser och kompletterande författning om den svenska offentliga noden

Utredningen föreslår:

att det ska ingå i det offentliga åtagandet att Sverige tillhanda-

håller en offentlig nod för gränsöverskridande identifiering i enlighet med eIDAS-förordningens krav.

att kompletterande författning om den svenska noden ska införas

i lagen (2016:561) och förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

42SOU 2017:92, Transpersoner i Sverige, Förslag för stärkt ställning och bättre levnadsvillkor, s. 488 ff. 43Prop. 2008/09:111, s. 20.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Av eIDAS-förordningen följer vissa givna utgångspunkter. Sverige måste se till att det finns minst en nod som kan ta emot och dirigera vidare begäran om bekräftelse av identitet när det gäller utländska användares elektroniska identitetshandlingar. Det finns inget i förordningstexten som hindrar förekomst av flera sådana noder i Sverige. Behovet av eventuella ytterligare noder kan diskuteras men först och främst behöver Sverige se till att det åtminstone finns en officiell nod för detta ändamål.

Behovet av en nod finns också när det gäller användning av svenska elektroniska identitetshandlingar i utländska e-tjänster. Det följer av förordningstexten att varje medlemsstat ska tillhandahålla endast en nod för detta ändamål.

E-legitimationsnämnden fick den 23 mars 2016 i uppdrag av regeringen att påbörja arbetet med att utveckla en nod för användning enligt eIDAS-förordningens bestämmelser.44 Den nod som i skrivande stund är under uppbyggnad ska klara att sköta flöden av elektroniska identitetshandlingar både när det gäller de europeiska där användaren vill nyttja en svensk e-tjänst och de svenska där användaren vill nyttja en e-tjänst i ett annat medlemsland.

För att se till att Sverige uppfyller eIDAS-förordningens krav när det gäller att tillhandahålla en nod och samtidigt tydliggöra ansvarsfördelningen för noden föreslår utredningen kompletterande författning om den svenska noden. Det finns redan en lag45 och en förordning46 med kompletterande bestämmelser till eIDAS-förordningen som kan utökas med de ytterligare regler som behövs.

44 Uppdrag att utveckla central teknisk arkitektur för hantering av europeiska e-legitimationer enligt eIDAS-förordningen, N2016/02305/EF. 45 Lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. 46 Förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

17.6.1. Digitaliseringsmyndigheten ansvarar för den svenska offentliga noden

Utredningen föreslår:

att digitaliseringsmyndigheten ska ansvara för den svenska offent-

liga noden.

att regeringen eller, efter regeringens bemyndigande, digitalise-

ringsmyndigheten får meddela föreskrifter om noden.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering samt förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Hittills har regeringen tilldelat ansvaret för uppbyggnaden av noden till E-legitimationsnämnden genom tidsbegränsade uppdrag. För att få kontinuitet i arbetet med noden och förutsebarhet i var ansvaret för noden ska ligga föreslår utredningen en regel om att regeringen ska utse en myndighet som ska ansvara för att tillhandahålla en nod för de ändamål som eIDAS-förordningen kräver. Utredningen föreslår att regeringen i förordningen med kompletterande bestämmelser till eIDAS-förordningen utser digitaliseringsmyndigheten till nodmyndighet.

E-legitimationsnämnden, vars verksamhet ska ingå i digitaliseringsmyndigheten, kommer att driva arbetet med noden fram till dess att digitaliseringsmyndigheten inleder sin verksamhet.

Utredningen föreslår även att regeringen eller, efter regeringens bemyndigande, nodmyndigheten, det vill säga digitaliseringsmyndigheten, får meddela föreskrifter om noden.

17.6.2. Digitaliseringsmyndigheten är personuppgiftsansvarig för behandlingar av personuppgifter i noden

Utredningen föreslår:

att digitaliseringsmyndigheten ska vara personuppgiftsansvarig

för behandlingar av personuppgifter i noden.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Från och med den 25 maj 2018 kommer den nya dataskyddsförordningen47 att gälla i EU:s medlemsstater vilket innebär att dataskyddsförordningens regler är grunden för all behandling av personuppgifter i Sverige. I förslag om personuppgiftshantering och personuppgiftsansvar måste därför alla bedömningar göras gentemot detta regelverk.

Dataskyddsförordningen förutsätter att varje behandling av personuppgifter ska utgå från en rättslig grund. Personuppgifter får därför bara behandlas under de omständigheter som särskilt anges i förordningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den

registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse

som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av

grundläggande betydelse för den registrerade eller för en annan fysisk person.

47 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt

intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. Principerna lyder:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt

i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade

ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhåll-

ande till de ändamål för vilka de behandlas (uppgiftsminimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rim-

liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e) De får inte förvaras i en form som möjliggör identifiering av den

registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskap-

liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för

personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

Den personuppgiftsansvarige ska enligt artikel 5.2 även ansvara för och kunna visa att principerna efterlevs (ansvarsskyldighet).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas. Det är endast om någon av de rättsliga grunder som anges i artikel 6.1 är tillämplig som behandling av personuppgifter över huvud taget får utföras. Om behandlingen är laglig enligt artikel 6 ska kraven i artikel 5 uppfyllas.48

I dataskyddsförordningens artikel 4.7 definieras personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

48SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning, s. 108.

Rättslig grund

Regler om noder finns i kommissionens genomförandeförordning om interoperabilitetsramverket enligt eIDAS-förordningen.49 Interoperabilitet mellan medlemsstaterna är en förutsättning för att gränsöverskridande elektronisk identifiering ska kunna genomföras. I genomförandeförordningen sägs bland annat i artikel 6.2 att noderna inte får lagra några personuppgifter, utom för det ändamål som anges i artikel 9.3. Ändamålet i artikel 9.3 gäller att uppgifter ska lagras för att kunna rekonstruera ordningsföljden av händelser vid incidenter.

Sverige har skyldighet enligt artikel 6 i eIDAS-förordningen att under vissa förhållanden erkänna utländska elektroniska identitetshandlingar. För att kunna göra det krävs att det finns minst en nod som förmedlar uppgifter enligt vad som tidigare har beskrivits i avsnitt 17.1. Utredningen bedömer därför att personuppgiftsbehandlingen i noden är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Därmed uppfylls villkoret i artikel 6.1 c i dataskyddsförordningen.

Det kan också hävdas att villkoret i artikel 6.1 e är uppfyllt eftersom behandlingen kan ses som nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Enligt Dataskyddsutredningen är statliga och kommunala myndigheters verksamhet i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. De offentliga myndigheternas uppdrag och skyldigheter framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som de offentliga myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa skyldigheter har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvän-

49 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

dig behandling av personuppgifter kan därmed göras med stöd av artikel 6.1 e i dataskyddsförordningen.50

Proportionalitet

Enligt dataskyddsförordningens artikel 6.3 ska den grund för behandlingen som avses i punkt 1 c och e fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt andra stycket sista meningen ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Det innebär att en proportionalitetsbedömning måste göras av den kompletterande lagstiftning som föreslås för att se till att de legitima mål som eftersträvas genom aktuella behandlingar av personuppgifter står i proportion till det intrång i integriteten som behandlingen innebär. Endast då kan behandlingen tillåtas.

Enligt eIDAS-förordningens krav har Sverige skyldighet att under vissa i förordningen beskrivna förhållanden erkänna utländska elektroniska identitetshandlingar i svenska e-tjänster. För att kunna göra det krävs att det i Sverige finns en nod som klarar av att dirigera trafiken av inkommande elektroniska identitetshandlingar för att kunna bekräfta identiteten på de användare som vill ha tillträde till svenska e-tjänster. Det kräver i sin tur den föreslagna behandlingen av de personuppgifter som anges i kommissionens genomförandeförordning (EU) 2015/1501.

Det är användaren själv som initierar identifieringsprocessen. Även om inte alla användare känner till exakt vad som händer när de använder elektroniska identitetshandlingar får det förutsättas att användaren förstår att någon form av behandling av personuppgifter kommer att behövas. Avsikten är att den föreslagna lagstiftningen ska tillåta minsta möjliga personuppgiftsbehandling för att ändå lösa uppgiften att dirigera den information som behövs för att kunna identifiera användaren. Utredningen bedömer att detta måste anses stå i proportion till det eventuella intrång i integriteten som användaren kan uppleva.

50SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning, s. 128 f.

Ändamål och allmänna principer

Den personuppgiftsansvariga offentliga myndigheten ska även kunna visa att principerna i artikel 5 efterlevs.

Ändamålet med nodens personuppgiftsbehandling är att användare som vill ha tillträde till svenska e-tjänster ska kunna identifieras. Identitetskontrollen utförs av den offentliga myndighet som tillhandahåller e-tjänsten men noden behöver behandla uppgifter genom att dirigera dem till rätt aktör innan identitetskontrollen kan genomföras.

Uppgifterna måste vidare behandlas på ett lagligt och korrekt sätt genom att nodmyndigheten följer bestämmelserna i eIDAS-förordningen och dess genomförandeakter om hur noden ska byggas upp och fungera.

När det gäller öppenhet kan det diskuteras om förfarandet för inloggning med elektroniska identitetshandlingar är tillräckligt öppet i förhållande till användaren. Det är viktigt att användaren informeras om vad som händer och vilken aktör som är ansvarig i olika skeden av inloggningsförfarandet.

Personuppgifterna är minimerade enligt kommissionens genomförandeförordning (EU) 2015/1501. Inga personuppgifter utöver de som anges där får behandlas av noden. I bilagan till genomförandeförordningen anges att en minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut: nuvarande efternamn, nuvarande förnamn, födelsedatum samt en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. En minimiuppsättning för en fysisk person kan dessutom innehålla ett eller flera av följande ytterligare attribut: förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön.

Nodmyndigheten måste se till att personuppgifterna som behandlas hålls korrekta och att säkerheten upprätthålls för att skydda integritet och konfidentialitet.

Enligt artikel 6.2 i kommissionens genomförandeförordning (EU) 2015/1501 får noderna inte lagra några personuppgifter utom för att det vid en incident ska gå att rekonstruera ordningsföljden i det som har hänt för att fastställa platsen för incidenten och dess art.

Regeringen eller, efter regeringens bemyndigande, nodmyndigheten får enligt utredningens förslag meddela föreskrifter om noden.

Det kan komma att visa sig att ytterligare föreskrifter krävs för att nodmyndigheten ska kunna visa att de ovanstående principerna uppfylls.

Vad säger de andra medlemsstaterna?

De medlemsstater som besvarade utredningens enkät som beskrivits i avsnitt 17.3.4 svarade också på frågan om de upptäckt några tänkbara konflikter mellan dataskyddsförordningen och eIDAS-förordningen.

Ingen av de svarande hade identifierat någon sådan konflikt men uttryckte tydligt intresse av att få veta om Sverige gjort det.

De förutsätter att medlemsstaterna ska leva upp till sina skyldigheter enligt dataskyddsförordningen när det gäller behandlingen av personuppgifter för att möta eIDAS-förordningens krav.

Finland bedömer att dataskyddsförordningens krav kan komma att begränsa deras lösningar medan Österrike anser att eIDAS-förordningen i sig ger laglig rätt att behandla åtminstone minimiuppsättningen av uppgifter och valfria tilläggsdata från varje medlemsstat.

17.6.3. Alla offentliga myndigheter som omfattas av eIDAS-förordningens krav ska ansluta till noden

Utredningen föreslår:

att alla statliga myndigheter, kommuner och landsting som har

e-tjänster där det krävs elektronisk identifiering på tillitsnivå väsentlig eller hög för att få tillträde ska ansluta till den svenska offentliga noden.

att övriga statliga myndigheter, kommuner och landsting får an-

sluta till den svenska offentliga noden.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

De offentliga myndigheter som omfattas av eIDAS-förordningens krav när det gäller erkännande av utländska elektroniska identitetshandlingar kommer att behöva ansluta sig till noden. Därför föreslår

utredningen att alla offentliga myndigheter som, för att ge åtkomst till sina e-tjänster, omfattas av kraven på elektronisk identifiering enligt eIDAS-förordningen, ska ansluta till den svenska offentliga noden. Kravet att ansluta till noden gäller alltså de offentliga myndigheter som i dag kräver elektronisk identifiering på tillitsnivå väsentlig eller hög för att ge användare tillträde till någon av sina e-tjänster.

Offentliga myndigheter som inte omfattas av förordningens krav får enligt förslaget också ansluta till den svenska offentliga noden men det är på frivillig basis. Detta gäller alltså offentliga myndigheter som inte kräver elektronisk identifiering på tillitsnivå väsentlig eller hög för att logga in användare i någon e-tjänst utan där det räcker med en lägre tillitsnivå. Även dessa offentliga myndigheter kan ha intresse av att identifiera utländska användare elektroniskt för att ge tillträde och ges på detta sättet möjlighet att använda noden.

17.6.4. Övriga aktörer får ansluta till noden

Utredningen föreslår:

att privata aktörer får ansluta till den svenska offentliga noden. att regeringen eller, efter regeringens bemyndigande, digitali-

seringsmyndigheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Under utredningstiden har det framkommit att aktörer i privat sektor också har intresse av att kunna ansluta till noden och på så sätt hantera utländska användare i sina e-tjänster. Därför föreslår utredningen att även privata aktörer får ansluta till den svenska offentliga noden.

Noden kommer att finansieras med offentliga medel. Den byggs upp för att i första hand tillgodose ett behov inom offentlig sektor. Inledningsvis förväntas trafiken genom noden inte bli särskilt omfattande, varken av offentliga eller privata aktörer. Utvecklingen kan dock gå snabbt, särskilt inom den privata sektorn. Det kan därför på sikt komma att bli aktuellt att ta ut avgifter från privata aktörer för att de ska kunna utnyttja noden. Utredningen föreslår därför att

regeringen eller, efter regeringens bemyndigande, nodmyndigheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden.

17.6.5. Incidentrapportering

Utredningen föreslår:

att alla aktörer som är anslutna till noden utan otillbörligt dröjs-

mål ska underrätta digitaliseringsmyndigheten om alla händelser som påverkat funktionalitet och säkerhet i noden.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

För att noden ska fungera på bästa möjliga sätt krävs det enligt utredningens mening att de inblandade aktörerna bidrar och tar ansvar för det de kan i förhållande till sina respektive roller. Ett sätt att praktiskt upprätthålla säkerhetsnivån är att informera nodmyndigheten om alla incidenter som på något sätt påverkar säkerhet eller funktionalitet av noden. Utredningen föreslår därför att alla som är anslutna till noden utan otillbörligt dröjsmål ska underrätta nodmyndigheten om alla händelser som påverkat funktionalitet eller säkerhet i noden.

17.6.6. Försvarets radioanstalt ska utföra tekniska säkerhetsgranskningar

Utredningen föreslår:

att regeringen ger Försvarets radioanstalt i uppdrag att utföra en

teknisk säkerhetsgranskning av det system som den svenska noden omfattar innan det sätts i drift.

att digitaliseringsmyndigheten vid större förändringar av det sy-

stem som den svenska noden omfattar, ska begära en teknisk säkerhetsgranskning av Försvarets radioanstalt. Granskningsförfarandet får ta max tre månader från det att digitaliseringsmyndigheten ansökt om granskning.

Förslaget genomförs genom förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

Noden är en viktig del i infrastrukturen för elektronisk identifiering och det är därför viktigt att den skyddas mot användning på ett bedrägligt sätt. Noden ses inte som samhällsviktig enligt det s.k. NIS-direktivet51 bilaga II, men konsekvenserna av eventuella angrepp kan bli allvarliga.

För att skydda noden mot angrepp föreslår utredningen ett granskningsförfarande av en it-säkerhetsexpertmyndighet, Försvarets radioanstalt, FRA. Den första granskningen ska genomföras innan systemet sätts i drift och kan initieras direkt av regeringen eftersom digitaliseringsmyndigheten inte kommer att ha tagit över uppgifterna från E-legitimationsnämnden innan en sådan granskning behöver begäras. E-legitimationsnämnden bör även under processen med att ta fram noden under våren 2018 involvera FRA för att processen ska bli så smidig som möjligt. Vid större förändringar av det system som den svenska noden omfattar ska digitaliseringsmyndigheten därefter begära att FRA utför en sådan teknisk säkerhetsgranskning.

Utredningen föreslår även att FRA ska ha tre månader på sig att utföra sin granskning efter digitaliseringsmyndighetens begäran.

17.6.7. Noden utöver eIDAS-förordningen

Utredningen föreslår:

att digitaliseringsmyndigheten ska ha rätt att behandla tekniska

uppgifter för de aktörer vars uppgifter ska behandlas av noden.

att digitaliseringsmyndigheten ska få behandla de personuppgifter

som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.

Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

51 Europaparlamentet och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

När det gäller den svenska noden har utredningen utgått från den definition som ges i eIDAS-förordningen. I eIDAS-förordningen regleras det som händer mellan den svenska noden och de utländska noderna. Den nationella delen av noden är vidare än denna definition. Det medför att inte allt som det är tänkt att nodmyndigheten ska utföra täcks av den reglering som utredningen föreslår.

E-legitimationsnämnden arbetar parallellt med utredningen med att ta fram specifikationer för och bygga upp ett s.k. metadataregister. I metadataregistret kommer att lagras t.ex. tekniska uppgifter för de aktörer vars uppgifter ska behandlas av noden och även personuppgifter som är nödvändiga för att säkerställa behörighet för aktörernas ombud. Metadataregistret kommer att behöva finnas på plats när noden ska tas i bruk. I skrivande stund är det dock inte helt klart hur det kommer att fungera, vad som kommer att omfattas av det och hur det behöver regleras. Utredningen föreslår dock redan nu en regel som ger nodmyndigheten rätt att behandla tekniska uppgifter för de aktörer vars uppgifter ska behandlas av noden. Nodmyndigheten ska även få behandla de personuppgifter som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.

17.6.8. Ikraftträdande

Utredningen föreslår:

att de föreslagna kompletterande reglerna till EU:s förordning om

elektronisk identifiering (eIDAS-förordningen) träder i kraft den 29 september 2018.

Från och med den 29 september 2018 kommer svenska offentliga myndigheter som har e-tjänster som kräver identifiering med elektroniska identitetshandlingar att ha skyldighet att erkänna europeiska elektroniska identitetshandlingar i sina e-tjänster. Därför behöver den föreslagna kompletterande regleringen till eIDAS-förordningen också gälla från samma tidpunkt.

18. Anmälan av svenska elektroniska identitetshandlingar

18.1. Beskrivning av processen

På samma sätt som beskrivits ovan när det gäller utländska användare som ska identifiera sig i svenska e-tjänster kommer det också att fungera för svenska användare som ska identifiera sig i utländska etjänster. Nedan följer en förenklad beskrivning av vad som händer när en användare med svensk elektronisk identitetshandling identifierar sig i en utländsk e-tjänst.

Användaren med svensk elektronisk identitetshandling får ange att hon eller han vill identifiera sig med en svensk elektronisk identitetshandling. Begäran om identitetsintyg skickas via den utländska noden som dirigerar begäran vidare till den svenska noden. Den svenska noden skickar begäran om identitetsintyg till den utfärdare som har utfärdat den elektroniska identitetshandlingen i Sverige. Identitetsintyget ska innehålla användarens nuvarande förnamn, nuvarande efternamn, födelsedatum och landets unika identitetsbeteckning. Det kan också innehålla några ytterligare attribut som Sverige behöver ta ställning till om de ska skicka