|
Trafikutskottets betänkande
|
Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Sammanfattning
Utskottet ställer sig bakom regeringens förslag om att nya kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden ska föras in i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Syftet med lagen är att säkerställa att Sverige uppfyller sina åtaganden i enlighet med EU:s förordning för elektronisk identifiering.
Lagändringarna föreslås träda i kraft den 1 juni 2021.
Behandlade förslag
Proposition 2020/21:81 Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Utskottets förslag till riksdagsbeslut
Propositionens huvudsakliga innehåll
Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
|
Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering |
Riksdagen antar regeringens förslag till lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Därmed bifaller riksdagen proposition 2020/21:81.
Stockholm den 13 april 2021
På trafikutskottets vägnar
Jens Holm
Följande ledamöter har deltagit i beslutet: Jens Holm (V), Anders Åkesson (C), Magnus Jacobsson (KD), Teres Lindberg (S), Denis Begic (S), Maria Stockhaus (M), Jasenko Omanovic (S), Sten Bergheden (M), Jimmy Ståhl (SD), Anders Hansson (M), Thomas Morell (SD), Johan Büser (S), Elin Gustafsson (S), Helena Gellerman (L), Patrik Jönsson (SD), Emma Berginger (MP) och Åsa Coenraads (M).
Ärendet och dess beredning
I betänkandet behandlar utskottet regeringens proposition 2020/21:81 Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Inga motioner har inkommit med anledning av propositionen.
Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.
I propositionen finns en redogörelse för ärendets beredning fram till propositionen.
Propositionens huvudsakliga innehåll
I propositionen behandlas lagförslag för frågor om svenska förbindelsepunkter (noder) för gränsöverskridande elektronisk identifiering och om anmälan av svenska system för elektronisk identifiering. Förslagen utgår från utredningen reboot – omstart för den digitala förvaltningen (SOU 2017:114), avsnitt 17 och 18 (s. 297–374).
Regeringen föreslår att lagändringarna ska träda i kraft den 1 juni 2021.
Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Utskottets förslag i korthet
Riksdagen antar regeringens lag om ändring i lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Utskottet anser att regeringens lagförslag är ändamålsenligt utformat och medför att Sverige uppfyller sina åtaganden i enlighet med EU:s förordning för elektronisk identifiering.
Bakgrund
Processen för elektronisk identifiering
För att få åtkomst till en digital tjänst, t.ex. för att lämna in en skattedeklaration digitalt, krävs normalt att den som vill få åtkomst identifierar sig. Detta kan t.ex. ske genom att användaren uppger en e-postadress, men oftast – för tjänster med högre krav på säkerhet – sker det genom en elektronisk legitimation (e-legitimation). En e-legitimation innehåller, liksom en fysisk identitetshandling, uppgifter som entydigt kan kopplas till en viss person. En e-legitimation kan finnas som en applikation i en mobiltelefon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, t.ex. ett kort. Kortet innehåller då ett chip där informationen lagras.
I processen för elektronisk identifiering brukar normalt fyra roller förekomma: användaren, den förlitande aktören, utfärdaren och identitetsintygsutfärdaren. Användaren är den individ som vill använda sin e-legitimation för att identifiera sig elektroniskt i en digital tjänst. Den förlitande aktören är den aktör som har behov av att verifiera en användares identitetsuppgifter vid identifiering i en digital tjänst. Utfärdaren är den som utfärdar en e-legitimation till användaren. Utfärdaren tillhandahåller också en funktion för identitetskontroll åt den förlitande aktören. Utfärdaren ansvarar gentemot användaren för att utfärdandet sker på ett tillräckligt säkert sätt. Utfärdaren ansvarar även gentemot den förlitande aktören för att den elektroniska identifieringen är tillförlitlig. Detta sker genom att utfärdaren tillhandahåller en funktion för identitetskontroll åt den förlitande aktören, som får ett identitetsintyg som bekräftelse på att användaren kan få tillträde till den digitala tjänsten. Utfärdare av e-legitimationer kan köpa in tjänsten att leverera identitetsintyg av en underleverantör, och då blir det i stället en identitetsintygsutfärdare som utför den elektroniska identifieringen.
Vilka krav på säkerhet som ställs för tillgång till en digital tjänst bedöms av tillhandahållaren av den digitala tjänsten. Säkerhetsnivåerna, kallade tillitsnivåer, har standardiserats inom EU genom EU:s förordning om elektronisk identifiering. Enligt förordningen finns det tre tillitsnivåer: låg, väsentlig och hög.
EU:s förordning om elektronisk identifiering
EU:s förordning om elektronisk identifiering innehåller ett rättsligt ramverk för elektronisk identifiering inom EU. Med det rättsliga ramverket följer tekniska standarder och specifikationer – i huvudsak genom genomförandeakter – vilket gör att förordningen även fungerar som ett tekniskt ramverk för elektronisk identifiering. Förordningen består av två delar, där den första innehåller förordningens allmänna del samt processen för gränsöverskridande elektronisk identifiering och den andra behandlar betrodda tjänster.
Målet med förordningen är att säkerställa en väl fungerande marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster.
Förordningen gäller för system för elektronisk identifiering som en medlemsstat har anmält och för tillhandahållare av betrodda tjänster som är etablerade inom unionen.
Enligt artikel 6 i förordningen ska medel för elektronisk identifiering under vissa förutsättningar omfattas av ömsesidigt erkännande. Det gäller för sådana medel för elektronisk identifiering som är utfärdade inom ramen för ett system för elektronisk identifiering som har anmälts av en medlemsstat och därefter offentliggjorts i Europeiska unionens officiella tidning (jfr skäl 14).
Medel för elektronisk identifiering definieras i artikel 3.2 som en materiell och/eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för nättjänster. För e-legitimationer utfärdade i Sverige är det normalt en persons personnummer som är personidentifieringsuppgiften.
Artiklarna innebär att en elektronisk legitimation som uppfyller kraven enligt förordningen och som utfärdats i en annan medlemsstat ska kunna användas för identifiering till nättjänster som tillhandahålls av offentliga organ i Sverige.
System för elektronisk identifiering ska för att omfattas av förordningen anmälas till Europeiska kommissionen enligt ett särskilt förfarande som framgår av artiklarna 7–9. Där anges vilka system som får anmälas, hur anmälan ska gå till och vilka krav som ställs på de anmälda systemen och de medel för elektronisk identifiering som utfärdas inom dessa. Förordningen innehåller även bestämmelser om hantering av säkerhetsincidenter i anmälda system och skadeståndsansvar.
Gränsöverskridande elektronisk identifiering
För att identifiera sig för åtkomst till en digital tjänst i en annan medlemsstat än den där e-legitimationen har utfärdats kan e-legitimationsinnehavaren använda det system för gränsöverskridande identifiering som har upprättats med anledning av EU:s förordning om elektronisk identifiering. Medlet, som är bärare av personidentifieringsuppgifterna i e-legitimationen, kan färdas i systemet mellan förbindelsepunkter, kallade noder. En nod i den avsändande staten verifierar medlet i det nationella systemet och skickar det vidare till den mottagande noden i den mottagande staten. Den mottagande noden verifierar i sin tur att den avsändande noden verifierat medlet för e-legitimationen och gör en form av översättning så att medlet kan fungera i den mottagande statens infrastruktur för elektronisk identifiering. När detta har skett kan individen använda sin e-legitimation för identifiering i en digital tjänst i en annan stat. Förfarandet förutsätter att medlet för e-legitimationen finns inom ett sådant system som anmälts till Europeiska kommissionen och att det även i övrigt uppfyller kraven i artikel 6.
Propositionen
Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Regeringen påminner inledningsvis om att Myndigheten för digital förvaltning har i uppgift att ansvara för de svenska noderna för gränsöverskridande elektronisk identifiering, i enlighet med instruktionen för myndigheten (förordning 2018:1486). Regeringen bedömer att ansvaret för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering även i fortsättningen bör regleras i förordning.
Regeringen föreslår att ett offentligt organ som tillhandahåller en nättjänst som omfattas av kravet i artikel 6 i EU:s förordning om elektronisk identifiering, dvs. kravet på erkännande av medel för elektronisk identifiering som utfärdats i en annan medlemsstat, är skyldigt att ansluta tjänsten till den svenska förbindelsepunkten (noden) för inkommande gränsöverskridande elektronisk identifiering. Skyldigheten ska dock inte gälla om anslutningen medför risk för skada för totalförsvaret eller Sveriges säkerhet i övrigt. Regeringen ska få meddela föreskrifter om undantag från anslutningsskyldigheten i fråga om verksamhet som avser totalförsvaret eller Sveriges säkerhet i övrigt. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om förfarandet och kraven för anslutning till noden. Regeringen bedömer vidare att även aktörer som inte omfattas av kravet på anslutning bör anslutas till noden om de begär det. Myndigheten för digital förvaltning bör få ta ut avgifter av de privata aktörer som frivilligt har anslutit sig till noden.
Regeringen föreslår även att den som är ansluten till en svensk nod för inkommande eller utgående gränsöverskridande elektronisk identifiering så snart som möjligt ska underrätta den myndighet som ansvarar för noden om händelser som kan ha betydelse för nodens funktionalitet eller säkerhet. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om underrättelseskyldigheten.
Regeringen föreslår vidare att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vilka krav som ska gälla för att system för elektronisk identifiering ska få anmälas för gränsöverskridande elektronisk identifiering enligt EU:s förordning om elektronisk identifiering och de rättsakter som meddelas med stöd av förordningen. Regeringen bedömer att Myndigheten för digital förvaltning bör ansvara för anmälan av system för elektronisk identifiering enligt EU:s förordning om elektronisk identifiering och de rättsakter som meddelas med stöd av förordningen. Myndigheten bör också ansvara för åtgärder vid säkerhetsincidenter enligt artikel 10 i EU:s förordning om elektronisk identifiering.
Enligt regeringens bedömning behövs det inga särskilda bestämmelser för utpekande av personuppgiftsansvaret och för behandling av personuppgifter i Myndigheten för digital förvaltnings verksamhet i frågor som rör hanteringen av noderna för gränsöverskridande elektronisk identifiering. Bestämmelserna i dataskyddsförordningen, dataskyddslagen och EU:s förordning om elektronisk identifiering och de rättsakter som har meddelats med stöd av den är tillräckliga.
Regeringen föreslår att lagändringarna träder i kraft den 1 juni 2021.
Konsekvenser
Regeringen bedömer inte att förslagen ökar statens kostnader. Enligt regeringen bör staten inte bekosta de gränsöverskridande transaktioner som genomförs av svenska e-legitimationsutfärdare, vilket utesluter risken att en kraftigt ökad användning skulle leda till en ökning av statens kostnader. De åtgärder som kravet på anslutning till noden som Myndigheten för digital förvaltning tillhandahåller och underrättelseskyldigheten medför, ryms enligt regeringen inom ramen för normalt verksamhetsarbete samt inom befintliga ekonomiska ramar – även för kommuner, regioner och andra offentliga organ som berörs t.ex. vissa statliga bolag.
Regeringen påtalar att förslaget om obligatorisk anslutning till noden för inkommande gränsöverskridande elektronisk identifiering påverkar den kommunala självstyrelsen. Anslutningskravet fråntar kommuner och regioner möjligheten att utveckla egna tekniska lösningar för att uppfylla de krav som förordningen ställer på dem. Ett begränsat antal aktörer har hittills vidtagit nödvändiga åtgärder för att uppfylla förordningens krav på erkännande av medel för elektronisk identifiering, enligt regeringen. Av de kommuner och regioner som kräver e-legitimation på tillitsnivå hög eller väsentlig för åtkomst till sina digitala tjänster bedöms enbart en tredjedel ha möjliggjort för gränsöverskridande elektronisk identifiering. Förslagets ändamål att Sverige ska leva upp till de krav som EU:s förordning om elektronisk identifiering ställer bedöms emellertid inte kunna uppnås på ett mindre ingripande sätt. Vidare anses en anslutning till den nod som det offentliga åtar sig att upprätthålla via Myndigheten för digital förvaltning vara det mest effektiva sättet att uppnå ändamålet. Regeringen bedömer mot denna bakgrund att inskränkningen i den kommunala självstyrelsen således är proportionerlig.
Enligt regeringen kommer privata aktörer att få en möjlighet att ansluta sina digitala tjänster till noden för inkommande gränsöverskridande elektronisk identifiering som Myndigheten för digital förvaltning tillhandahåller. Att svenska e-legitimationer kan användas för gränsöverskridande elektronisk identifiering ger enskilda möjlighet att använda digitala tjänster i andra EU-medlemsstater, vilket kan minska behovet av resor, underlätta snabbare service och minska kostnader för pappershantering.
Förslagen förväntas, enligt regeringen, inte få några konsekvenser för jämställdheten mellan kvinnor och män. Däremot anser regeringen att förslagen kan få en positiv miljöpåverkan om möjligheterna till digital kommunikation med offentliga organ i andra stater ökar.
Utskottets ställningstagande
Utskottet konstaterar inledningsvis att sedan september 2018 tillämpas Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden. Förordningen syftar till att öka förtroendet för elektroniska transaktioner på den inre marknaden genom att tillhandahålla en gemensam grund för ett säkert elektroniskt samspel mellan företag, medborgare och offentliga myndigheter. Därigenom ska effektiviteten hos offentliga och privata digitala tjänster, elektronisk affärsverksamhet och e-handel i unionen öka. Utskottet ser positivt på detta.
EU-förordningens regler är bindande och de lagbestämmelser som föreslås i propositionen syftar till att komplettera EU-förordningens bestämmelser. Utskottet konstaterar att propositionen utgår ifrån förslag som lämnades i betänkandet reboot – omstart för den digitala förvaltningen (SOU 2017:114) och ser positivt på att regeringens förslag även väntas bidra till Sveriges möjligheter att uppfylla kraven i EU:s förordning om en gemensam digital ingång.
Utskottet finner att regeringens lagförslag är ändamålsenligt utformat och kan konstatera att det inte har väckts några följdmotioner med anledning av propositionen. Utskottet föreslår därmed att riksdagen bifaller propositionen och antar de lagförslag som läggs fram i den.
Bilaga 1
Förteckning över behandlade förslag
Proposition 2020/21:81 Ytterligare kompletterande bestämmelser till EU:s förordning om elektronisk identifiering:
Riksdagen antar regeringens förslag till lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Bilaga 2
