Betänkande av Utredningen om bildande av en
Stockholm 2010
SOU 2010:104
SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.
Beställningsadress: Fritzes kundtjänst 106 47 Stockholm
Orderfax:
Svara på remiss. Hur och varför. Statsrådsberedningen (SB PM 2003:2, reviderad
– En liten broschyr som underlättar arbetet för den som ska svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss
Textbearbetning och layout har utförts av Regeringskansliet, FA/kommittéservice.
Tryckt av Elanders Sverige AB
Stockholm 2010
ISBN
ISSN
Till statsrådet
Regeringen beslutade den 17 juni 2010 (dir. 2010:69) att tillkalla en särskild utredare för att förbereda och genomföra bildandet av en nämndmyndighet för samordning av statens och kommunernas hantering av metoder och tjänster för elektronisk identifiering och signering
Generaldirektören Stig Jönsson förordnades att vara särskild utredare från den 17 juni 2010. Dano Costouvsqi anställdes som utredningssekreterare från samma dag.
Utredningen har antagit namnet Utredningen om bildande av en
Utredningen överlämnade den 6 september 2010 promemorian
Instruktion för
Utredningen överlämnar härmed betänkandet
Uppdraget är härmed slutfört.
Stockholm i december 2010
Stig Jönsson
Innehåll
Sammanfattning ................................................................ |
11 |
||
Författningsförslag ............................................................. |
17 |
||
1.1 |
Förslag till lag om valfrihet för Svensk |
17 |
|
1 |
Utredningens uppdrag och arbete ................................ |
19 |
|
2 |
21 |
||
2.1 |
Dagens modell.......................................................................... |
21 |
|
2.2 |
Begränsningar i nuvarande modell.......................................... |
21 |
|
3 |
En ny nationell modell för |
23 |
|
3.1 |
Utgångspunkter ....................................................................... |
23 |
|
3.2 |
Aktörer inom Infrastrukturen för Svensk |
25 |
|
3.3 |
27 |
||
3.4 |
Identitetsutfärdare ................................................................... |
29 |
|
3.5 |
32 |
||
3.6 |
En anvisningstjänst .................................................................. |
33 |
|
3.7 |
En signeringstjänst................................................................... |
34 |
|
3.8 |
Attributstjänster ...................................................................... |
37 |
|
|
3.8.1 |
Bakgrund ....................................................................... |
37 |
|
3.8.2 |
Attributsintyg och innehåll.......................................... |
38 |
|
3.8.3 |
Behov av reglering ........................................................ |
41 |
|
3.8.4 |
Bedömning .................................................................... |
43 |
|
|
|
5 |
Innehåll |
SOU 2010:104 |
|
3.9 |
Behörighetshantering med stöd av attribut ............................ |
44 |
4 |
Ett nytt valfrihetssystem för offentlig sektor................... |
47 |
4.1 |
Bakgrund................................................................................... |
47 |
|
4.1.1 Valfrihetssystem............................................................ |
47 |
|
4.1.2 Behov av valfrihetssystem för Svensk e- |
|
|
legitimation.................................................................... |
50 |
4.2 |
Valfrihetssystem för identitetsintygstjänster ......................... |
51 |
|
4.2.1 En lag om valfrihet för Svensk |
51 |
|
4.2.2 Kontrakt inom valfrihetssystemet är |
|
|
tjänstekoncessioner....................................................... |
55 |
|
4.2.3 Samordnat inrättande av valfrihetssystemet................ |
58 |
5 |
Ett regelverk för infrastrukturen för Svensk e- |
|
|
legitimation................................................................ |
61 |
5.1 |
Flera samverkande regleringar................................................. |
61 |
5.2Utkast till förordning om Infrastrukturen för Svensk e-
|
legitimation............................................................................... |
63 |
|
5.3 |
Valfrihetslag och civilrättslig reglering ................................... |
65 |
|
|
5.3.1 En lösning genom avtal................................................. |
65 |
|
|
5.3.2 |
66 |
|
|
5.3.3 |
Identitetsutfärdare och användare ............................... |
67 |
|
5.3.4 |
Nämnden, |
|
|
|
regelverket ..................................................................... |
69 |
5.4 |
Anvisningstjänsten respektive infrastrukturcertifikat ........... |
70 |
|
5.5 |
Signaturtjänsten........................................................................ |
70 |
|
|
5.5.1 |
Behov av överväganden................................................. |
70 |
|
5.5.2 |
Signaturlagen och signaturtjänsten .............................. |
71 |
|
5.5.3 |
Alternativa metoder ...................................................... |
73 |
5.6 |
Utfärdarens ansvar för intyg.................................................... |
73 |
|
6 |
Tillitsramverk ............................................................. |
75 |
|
6.1 |
Utgångspunkter........................................................................ |
75 |
6
SOU 2010:104 Innehåll
7 |
Informationssäkerhet och persondataskydd ................... |
79 |
|
7.1 |
Informationssäkerheten behöver prioriteras.......................... |
79 |
|
7.2 |
Persondataskyddet ska säkerställas......................................... |
80 |
|
|
7.2.1 Frågor av central betydelse .......................................... |
80 |
|
|
7.2.2 Inga personuppgifter i registren .................................. |
81 |
|
|
7.2.3 |
Personuppgifter inom infrastrukturen........................ |
82 |
|
7.2.4 Personuppgiftsansvar och begränsningar av |
|
|
|
|
elektroniska spår........................................................... |
83 |
|
7.2.5 Bättre skydd genom tekniska anpassningar ................ |
89 |
|
|
7.2.6 |
Anvisnings- och signaturtjänster................................. |
91 |
|
7.2.7 Lagen om elektronisk kommunikation....................... |
91 |
8 |
Verksamhetsplan för |
93 |
|
8.1 |
Omvärldsutveckling................................................................. |
93 |
|
8.2 |
En ny svensk affärsmodell....................................................... |
98 |
|
|
8.2.1 |
Utgångspunkter............................................................ |
98 |
|
8.2.2 |
Affärs- och betalmodell.............................................. |
100 |
8.3 |
Verksamhetsmål..................................................................... |
108 |
|
|
8.3.1 |
108 |
|
|
8.3.2 |
109 |
|
8.4 |
Verksamhetsområden ............................................................ |
110 |
|
|
8.4.1 |
Användare och medlemmar ....................................... |
110 |
|
8.4.2 |
Tjänster........................................................................ |
111 |
|
8.4.3 Internationell samverkan och eventuellt |
|
|
|
|
kompletterande områden ........................................... |
113 |
|
8.4.4 |
Upphandling ............................................................... |
114 |
8.5 |
Nämndens organisation......................................................... |
115 |
|
|
8.5.1 |
Nämndens uppbyggnad ............................................. |
115 |
|
8.5.2 |
Nämndens ansvarsområden ....................................... |
116 |
8.6 |
Genomförandeplan ................................................................ |
124 |
|
|
8.6.1 |
Uppbyggande av verksamheten ................................. |
124 |
|
8.6.2 Organisation av genomförande och bemanning....... |
132 |
|
8.7 |
Ekonomi ................................................................................. |
133 |
|
|
8.7.1 Förutsättningar för att finansiera verksamheten ...... |
133 |
|
|
8.7.2 |
Budget |
134 |
|
|
|
7 |
Innehåll SOU 2010:104
|
8.7.3 Övergång från anslagsfinansiering till |
|
|
|
|
avgiftsfinansiering ....................................................... |
140 |
|
8.7.4 |
Risker med affärsmodellen ......................................... |
142 |
9 |
En motsvarande infrastruktur för privat sektor.............. |
145 |
|
9.1 |
Utgångspunkt......................................................................... |
145 |
|
9.2 |
Förslag till lösning.................................................................. |
146 |
|
9.3 |
Genomförande........................................................................ |
147 |
|
10 |
Konsekvensbeskrivning ............................................. |
149 |
|
11 |
Författningskommentar ............................................. |
155 |
|
11.1 |
Förslag till lag om valfrihet för Svensk |
155 |
|
|
|
Bilagor |
|
Bilaga 1 |
Kommittédirektiv 2010:69................................. |
157 |
|
Bilaga 2 Förordning med instruktion för |
|
||
|
|
169 |
|
Bilaga 3 Regeringens beslut om förordnande av ledamöter |
|
||
|
|
till |
171 |
Bilaga 4 Begrepp och definitioner.................................... |
173 |
||
Bilaga 5 Utkast till förordning om Infrastrukturen för |
|
||
|
|
Svensk |
175 |
Bilaga 6 Regelverk för Infrastrukturen för |
|
||
|
|
Svensk |
185 |
Bilaga 7 Förslag till riktlinjer för federationsoperatörer ....... |
211 |
8
SOU 2010:104 |
Innehåll |
|
Bilaga 8 Behörighetshantering med stöd av attribut........... |
215 |
|
Bilaga 9 |
Tillitsramverk ................................................... |
239 |
Bilaga 10 |
Kvalificerade certifikat ..................................... |
255 |
Bilaga 11 |
Teknisk sammanfattning av infrastrukturen för |
|
|
Svensk |
265 |
Bilaga 12 |
Tekniskt ramverk ............................................. |
273 |
Bilaga 13 |
Attributsspecifikaton ........................................ |
279 |
Bilaga 14 |
Specifikation av metadata................................. |
287 |
Bilaga 15 |
Implementation Profile..................................... |
291 |
Bilaga 16 |
Anvisningstjänst .............................................. |
297 |
Bilaga 17 |
Central signeringstjänst .................................... |
305 |
9
Sammanfattning
Dagens lösning för
Dagens system har dock brister. Det finns ingen sammanhållen och enhetlig infrastruktur för identifiering vilket försvårar och förmodligen hämmar utvecklingen av
Den i utredningen föreslagna modellen för Svensk
11
Sammanfattning |
SOU 2010:104 |
för signering utanför området för den aktuella identitetslösningen. Detta möjliggörs genom ett enhetligt gränssnitt mot infra- strukturen för Svensk
Regeringen har beslutat om inrättande av en
I förverkligandet av målbilden ingår att skapa en affärsmodell för Svensk
Förvaltningens
–
Genom utredningens förslag skapas en infrastruktur för den offentliga sektorn. En viktig uppgift för
Attributsutfärdarna kommer som medlemmar i modellen spela en viktig roll som källa till kompletterande information.
Enligt förslaget ska infrastrukturen byggas med hjälp av flera samverkande regelverk, delvis inrättade genom författning, delvis skapade genom civilrättsliga avtal efter upphandling.
Med anledning av den bedömning som gjordes i Instruktion för
12
SOU 2010:104 |
Sammanfattning |
marknaden som ska ta fram och erbjuda identifieringstjänster och andra tjänster, t ex
I utredningen redovisas även ett förslag till regelverk för den föreslagna infrastrukturen. Regelverket avses styra parternas civil- rättsliga mellanhavanden genom att föras in i de avtal som E- legitimationsnämnden ingår med dem som ansluts till infra- strukturen för Svensk
Utredningen föreslår att en förordning om infrastrukturen för Svensk
En infrastruktur för identifiering bör ta sin utgångspunkt i ett tillitsramverk byggt på internationell standard och medge den flexibilitet som den föreslagna infrastrukturen för Svensk e- legitimation och internationell samverkan kräver.
Som ett led i att skapa en långsiktig, hållbar och teknikneutral grund för identifiering har utredningen valt att inte reglera hur bärare skall utformas eller på annat sätt peka på någon särskild teknik för själva
13
Sammanfattning |
SOU 2010:104 |
säkerställa att identifieringen sker på ett betryggande sätt. Abstraktionslagret med identitetsintyg gör det möjligt för e- legitimationsutfärdare att helt fritt utforma och utveckla lösningarna så länge de uppfyller säkerhetskraven i tillitsramverket.
•att en affärs- och prismodell skapas som är enkel, transparent och långsiktig. Den ska leda till mer förutsägbara och om möjligt lägre kostnader än i dagens ramavtalsmodell
•att det ska vara enkelt för statlig myndighet, landsting eller kommun att få tillgång till tjänster för elektronisk identifiering och signering. En statlig myndighet, landsting eller kommun ska genom en part –
•att en statlig myndighet, landsting eller kommun i så liten utsträckning som möjligt själv ska behöva ha kompetens och funktioner för att kunna använda tjänster för elektronisk identifiering och signering i verksamheten
•att modellen bör, om det med hänsyn till övriga förutsättningar är möjligt, stödja teknikneutralitet samt bygga på lösningar som utvecklas av marknaden. Befintliga
•att alla aktörer på marknaden som uppfyller relevanta krav ska kunna bli leverantörer i den nya modellen
Inom Svensk
Verksamhetsplanen för
14
SOU 2010:104 |
Sammanfattning |
verksamhet samt infrastrukturen för Svensk
En annan viktig del i nämndens arbete är att genomföra ett stort antal samverkans- och förankringsaktiviteter med såväl offentliga som privata
Affärsmodellen för Svensk
Den prismodell som tagits fram som en del av affärsmodellen har utgått ifrån att den totala ersättningen till identitetsutfärdarna bör motsvara nuvarande marknadsstorlek i initialskedet. Tillväxten i marknaden förväntas ske genom att ytterligare myndigheter, landsting och kommuner ansluter sig till systemet.
15
Sammanfattning |
SOU 2010:104 |
Svensk
Som framgår av betänkandet har utredningen valt att ta ställning till flera svåra frågor och med relativt hög detaljeringsgrad för att tydliggöra områdets komplexitet och bredd och för att få igång en aktiv dialog kring frågeställningarna.
Nämnden tar nu vid där utredningen slutar. Det ligger i sakens natur att fortsatt dialog och djupare analys kommer att kunna resultera i modifieringar av olika slag.
16
Författningsförslag
1.1Förslag till lag om valfrihet för Svensk
Härigenom föreskrivs följande.
1 §
Med valfrihetssystem menas ett förfarande där användaren har rätt att välja den leverantör som ska utföra tjänsten och som E- legitimationsnämnden godkänt och tecknat kontrakt med.
2 § När
1.leverantör menas den som på marknaden tillhandahåller tjänster som nämns i 1 §,
2.tjänst menas sådan tjänst som nämns i 1 §, och
3.upphandlande myndighet menas
3 § En kommun eller ett landsting får uppdra åt
Denna lag träder i kraft den [ ] 2011
17
1Utredningens uppdrag och arbete
1.1Utredningens uppdrag
Regeringen beslutade den 17 juni 2010 att tillkalla en särskild utredare för att förbereda och genomföra bildandet av en nämnd- myndighet för samordning av statens och kommunernas hantering av metoder och tjänster för elektronisk identifiering och signering
Utredningen har antagit namnet Utredningen om bildande av en
Utredningen har enligt direktivet i sin första delredovisning den 6 september 2010 lämnat förslag till en instruktion för
Regeringen har beslutat om förordning med instruktion för E- legitimationsnämnden, se bilaga 2, och förordnade av nämndens ledamöter, se bilaga 3.
I detta betänkande,
Uppdraget är härigenom avslutat.
19
Utredningens uppdrag och arbete |
SOU 2010:104 |
1.2Utredningens arbete
Utredningen inledde sitt arbete i mitten av juni 2010. Utredningen har i olika omfattning haft samråd med Sveriges Kommuner och Landsting och de myndigheter som ingår i
Utredningen har haft tre samrådsmöten med de leverantörer som omfattas av ramavtal Elektronisk identifiering (eID) 2008 och två möten med s.k. infratjänstleverantörer. Vidare har utredningen tillsammans med Ingenjörsvetenskapsakademien, IVA, anordnat ett näringslivsseminarium med ett åttiotal deltagare. Utredningen har medverkat i två informationsmöten som Dataföreningen har anordnat samt som föredragshållare på
Utredningen har gett Setterwalls Advokatbyrå och Capgemini Sverige AB (som i sin tur anlitat underkonsulterna 3xA Security AB, Certezza AB och Kirei AB) i uppdrag att bistå utredningen med att ta fram förslag till en ny nationell modell för elektronisk identifiering och signering
Utredningen har tagit fram begrepp och definitioner avseende Svensk
20
2
2.1Dagens modell
I takt med att medborgarna blivit allt mer kunniga användare av Internet har utvecklingen i Sverige tagit ett nytt steg mot tydliga och standardiserade förutsättningar för
Ett stort antal myndigheter, landsting och kommuner tillhanda- håller i dag
2.2Begränsningar i nuvarande modell
Dagens modell för
1 Strategi för myndigheternas arbete med
21
SOU 2010:104 |
som fungerar och en samsyn har vuxit fram kring bl.a. rätts- och administrativa frågor.
Samtidigt finns brister i dagens system. Det finns ingen samman- hållen och enhetlig infrastruktur för identifiering vilket försvårar och förmodligen hämmar utvecklingen av
Dagens användning av metoder för identifiering och signering bygger på ramavtalsupphandlingar, genomförda av Kammar- kollegiet, från vilka statliga myndigheter och kommuner kan göra avrop. Nuvarande avtal för elektronisk identifiering har blivit förlängt till juni 2012 och avrop kan gälla under fyra år. Som längst kan ett avrop från gällande avtal därför gälla till 30 juni 2016. Myndigheter, landsting och kommuner har hittills även kunnat avropa förmedling av spärrkontrollfråga till rätt utfärdare via Infratjänsten, vilket nu upphört och ersatts av ramavtalet för E- förvaltningsstödjande tjänster.2 En viktig drivkraft till en översyn av den svenska modellen för
2
22
3En ny nationell modell för
I detta avsnitt beskrivs utgångspunkterna för en ny nationell modell för
3.1Utgångspunkter
Frågan om hur elektronisk identifiering och elektroniska under- skrifter kan utvecklas och anpassas till framtida behov har varit föremål för utredning i flera olika sammanhang.1 Frågan berördes senast i utredningens promemoria den 6 september 2010, med en delredovisning till regeringen, där en förordning med instruktion för
1 Se bl.a.
(Rapport 2008:12).
23
En ny nationell modell för |
SOU 2010:104 |
Utredningen har utarbetat ett förslag till en ny nationell modell för att använda
Figur 3.1 Infrastrukturen för Svensk
Infrastrukturen för identifiering
(identitetsfederationen)
Svensk |
Infrastrukturen för |
|
svensk |
||
(privat- och tjänstelegitimation) |
||
|
Signaturtjänsten
Denna modell behöver fungera från upphandlings- och konkurrensrättsliga utgångspunkter samtidigt som andra frågor – såväl juridiska som tekniska och affärsmässiga – måste lösas och formas till en helhet.
Dessa komplexa samband mellan teknik, juridik och affärs- modell gör det till en utmaning att beskriva Infrastrukturen för Svensk
24
SOU 2010:104 |
En ny nationell modell för |
timationsnämnden, som utarbetar och inför lösningar såväl tek- niskt som juridiskt, dels av s.k. Identitetsutfärdare, så att myndig- heter och företag som tillhandahåller
Utredningen har tagit fram tekniska specifikationer för infra- strukturen för Svensk
3.2Aktörer inom Infrastrukturen för Svensk
De aktörer som ingår i Infrastrukturen för Svensk
Figur 3.2 Aktörer i Svensk
Register
Identitetsutfärdare |
Attributsintygsutfärdare |
|||
Utfärdande av |
Identitets- |
(Myndighet, landsting eller kommun) |
Attribut |
Attribut |
intygstjänst |
|
|||
|
|
|
Privatperson/Anställd
Infrastruktur för Svensk
25
En ny nationell modell för |
SOU 2010:104 |
aktörer som utfärdar
Tanken är att de
Svensk
Det ska dessutom finnas en typ av intyg – s.k. attributsintyg – som utfärdas av en attribututfärdare som även kan vara en identitetsintygsutfärdare. Det kan vara fråga om sådana attribut som t.ex. juridisk behörighet att agera för en juridisk persons räkning i egenskap av ställföreträdare eller fullmäktig, en roll av juridisk betydelse såsom lärare, läkare eller sjuksköterska eller någon annan uppgift av betydelse om en individ, t.ex. uppgift om anställning inom visst företag eller visst uppdrag för en angiven huvudman.
På ett övergripande plan kan den planerade Infrastrukturen för Svensk
1. utfärda, använda, verifiera och spärra Svenska
26
SOU 2010:104 |
En ny nationell modell för |
2.tillhandahålla en Infrastruktur för identifiering där
a)
b)ett centralt register över aktörer förmedlar uppgifter om aktörernas tjänster och funktioner för tillit och säkert informationsutbyte,
c)en anvisningstjänst som kan ge användaren av en
3.tillhandahålla en signeringstjänst som gör det möjligt för användaren att skriva under handlingar elektroniskt.
Denna infrastruktur syftar till att etablera funktioner för
3.3
Utfärdar- och
27
En ny nationell modell för |
SOU 2010:104 |
hang kallad identitetsfederationen. Där publiceras vissa uppgifter om varje aktör – identitetsutfärdare, attributsutfärdare och e- tjänsteleverantör – så att de kan kommunicera på ett säkert sätt och kan kontrollera att identitets- och attributsintyg är äkta.2 I utfärdar- och
I dessa register, som i tekniska sammanhang kallas metadata och något förenklat kan beskrivas genom en jämförelse med domän- namnssystemet och det domännamnsregister som .SE tillhanda- håller, är det inte meningen att personuppgifter ska registreras utan endast uppgifter om identitetsutfärdare, attributsutfärdare och e- tjänsteleverantörer (dvs. juridiska personer).3
Attributsutfärdare av allmänt intresse kan registreras i
Uppgifterna i utfärdarregistret ska vara offentligt tillgängliga; jfr hur uppgifterna i aktiebolagsregistret och domännamnsregistret är tillgängliga för var och en via Internet. För uppgifter om e- tjänsteleverantörer behövs två typer av
2Alternativet – att alla aktörer skapar tillit sinsemellan – är inte realistiskt. I så fall kan en identitetsfederation endast skapas för en handfull parter och därmed inte uppfylla direktivets krav på utvecklingsmöjligheter.
3Jfr lagen (2006:24) om nationella toppdomäner för Sverige på Internet.
28
SOU 2010:104 |
En ny nationell modell för |
att ett tillförlitligt kompletterande register för näringslivets e- tjänsteleverantörer regleras på lämpligt sätt.
Till
1.utarbeta underlag till föreskrifter för Infrastrukturen för Svensk
2.meddela föreskrifter inom ramen för den normgivnings- kompetens som delegeras till nämnden,
3.upphandla leverantörer av tekniska tjänster för Infrastrukturen för Svensk
4.sluta avtal med aktörer inom Infrastrukturen för Svensk
5.inrätta en Infrastruktur för identifiering inom ramen för Infrastrukturen för Svensk
a)inrätta ett valfrihetssystem för Svensk
b)ange de tekniska och andra krav som ställs på de
3.4Identitetsutfärdare
De identitetsutfärdare som ansluts till Infrastrukturen för Svensk
29
En ny nationell modell för |
SOU 2010:104 |
ansvara för både de
Tanken är alltså att utfärdaren av den
Om en identitetsutfärdare inte kan leverera alla de uppgifter som en
Identitetsutfärdarens relation till användaren
En användare som ska identifiera sig väljer via anvisningstjänsten vilken identitetsutfärdare som ska brukas. Identifiering sker sedan direkt mellan användaren och den valda identitetsutfärdaren. Detta är därför viktigt att identitetsutfärdaren är en part som användaren känner igen och har en direkt relation till, t.ex. som kund, medlem eller anställd. Detta är särskilt viktigt att beakta i de fall där själva bäraren av
Bankerna som identitetsutfärdare
De banker som i dag utfärdar
30
SOU 2010:104 |
En ny nationell modell för |
gör. Bland de exempel som varit föremål för diskussion finns de som översiktligt återges i följande figur.
Figur 3.3 Bankerna som identitetsutfärdare, exempel
Alternativ 1: De enskilda bankerna som identitetsutfärdare
|
|
|
Nordea |
|
|
|
|
||
|
|
|
|
Aktivt kort |
|
|
|
||
|
|
|
|
|
Nordea PKI |
|
|||
|
|
|
|
Nordea IDP |
|
|
|
|
|
|
|
|
|
|
Koddosa med kort |
|
|||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Handelsbanken |
|
|
|
|
||
|
|
|
|
Aktivt kort |
|
|
|
||
|
|
||||||||
|
|
|
Handelsbanken IDP |
|
|
|
|
|
|
|
|
|
|
Mjukt certifikat |
|
|
|
||
nämnden |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
BankID PKI |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
Swedbank |
|
|
|
|
||
|
|
|
|
Aktivt kort |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mjukt certifikat |
|
|
|
|
|
|
|
Swedbank IDP |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Identitetsintygs- |
|
|
|
|
Mobiltelefon |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
utgivare |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Koddosa |
|
|
|
|
|
|
|
|
|
|
|
Verisec |
|
|
|
|
|
|
|
|
|
|
||
|
|
SEB |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||
Teknisk |
|
|
|
SEB IDP |
|
Koddosa |
|
|
|
|
|
|
|
|
|
|
|||
utfärdare |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Alternativ 2: BankID som identitetsutfärdare |
|
|
||||
|
|
|
|
|
|||||
|
|
|
BankID |
|
|
|
|
||
|
|
|
|
Aktivt kort |
|
|
|
||
|
|
|
|
|
|
|
BankID PKI |
|
|
|
|
|
BankID IDP |
|
Mjukt certifikat |
|
|
||
nämnden |
|
|
|
|
|
|
|||
|
|
|
|
|
|
Mobiltelefon |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Utfärdare av
För anställda inom ett landsting bör landstinget själv vara identitetsutfärdare, förutsatt att de uppfyller kraven för Svensk E- legitimation, då det är landstingen som av den anställde uppfattas som utfärdare av tjänstekortet (SITHS4.). Att det rent tekniskt är en underleverantör (TeliaSonera AB) till ett av landstingen
4 SITHS är ett smart kort för elektronisk identifiering. Alla medarbetare i till exempel kommuner, landsting och eller privata vårdgivare kan använda den här elektroniska tjänstelegitimationen.
31
En ny nationell modell för |
SOU 2010:104 |
gemensamt ägt bolag (Inera AB) som utfärdat
Figur 3.4 Utfärdare av
Identitetsutfärdare med
|
|
Västra Götalandsregionen |
|
|
|
|
||
|
|
|
VG Region IDP |
|
Aktivt kort |
|
|
|
|
|
|
|
|
SITHS CA |
|
||
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Region Skåne |
|
|
|
||||
|
|
|
|
|
||||
nämnden |
|
|
|
|
|
|
|
|
|
|
Region Skåne IDP |
|
Aktivt kort |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|||||
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Identitetsintygs- |
|
Polisen |
|
|
|
|
||
utgivare |
|
|
|
|
|
|
|
|
|
|
Polisen IDP |
|
Aktivt kort |
|
Polisen PKI |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Stockholms stad |
|
|
|
|
||
Teknisk |
|
|
|
Stockholm PKI |
|
|||
|
|
Stockholm IDP |
|
Aktivt kort |
|
|
||
|
|
|
|
|
||||
utfärdare |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.5
I en identitetsfederation gör det ingen skillnad för
32
SOU 2010:104 |
En ny nationell modell för |
lösningen för att hantera identitetsintyg vilken här betecknas Infrastrukturen för identifiering (federationen).
Merparten av dagens
3.6En anvisningstjänst
En anvisningstjänst ska införas för att, i samband med användarens utnyttjande av
En viktig funktion i en anvisningstjänst är att hantera informa- tion om användarens tidigare val av
Även anvisningstjänsten föreslås som två alternativa tjänster. Det första alternativet medger en enklare integration för e- tjänsteleverantörerna i deras
Inför
Om
33
En ny nationell modell för |
SOU 2010:104 |
passade gränssnittet lämnas information till
Det senare alternativet kräver instruktioner i
Vi återkommer till anvisningstjänsten i avsnittet om regelverk för den föreslagna infrastrukturen.
3.7En signeringstjänst
För att den beskrivna infrastrukturen ska bli fullständig behövs även en central tjänst för elektroniska underskrifter (signerings- tjänst). Denna bör om möjligt utformas dels så att kvalificerade certifikat utfärdas momentant, dels så att en säker anordning för signaturframställning tillhandahålls så att de elektroniska underskrifterna kan anses vara kvalificerade.
Tanken är att Infrastrukturen för Svensk
Det är centralt för en svensk lösning att signaturlagens krav uppfylls. Den elektroniska underskriften ska ha skapats med medel som endast användaren kontrollerar, dvs. som användaren
34
SOU 2010:104 |
En ny nationell modell för |
kontrollerar så att den inte kan kopieras eller annars missbrukas av en obehörig utan att detta upptäcks. För att tillgodose detta krav får användaren legitimera sig med sin
Den föreslagna Infrastrukturen för identifiering – där nya typer av
Det första alternativet har utformats så att en
•presentation av det utkast som ska undertecknas av användaren,
•mottagande av användarens aktivering av underskriftsfunktion- en (dvs. klicket på knappen ”Jag skriver under”),
•legitimering av användare när underskriftsfunktionen aktiveras,
•skapande av signeringsnycklar och utfärdande av signerings- certifikat för den aktuella underskriften,
•skapandet av underskriften med användarens nya nyckel,
•tidsstämpling av underskriften (när det krävs), och
•sammanfogande av text, underskrift, certifikat och eventuell stämpel till ett paket i enlighet med vedertagen standard för signaturformat.
En fördel från informationssäkerhetssynpunkt med detta alternativ är att den centrala signeringstjänsten oberoende av
35
En ny nationell modell för |
SOU 2010:104 |
Detta första alternativ ökar riskerna för enskildas personliga integritet, genom att all text som ska skrivas under förs till en viss central tjänst. Alternativet minskar emellertid samtidigt riskerna för undertecknarens rättssäkerhet genom att texten som ska granskas för underskrift kan presenteras med sådana rutiner att e- tjänsteleverantören eller annan får mera begränsade möjligheter att förvanska det som visas för granskning, så att användaren skriver under något annat än det han eller hon fått se.
Det andra alternativet utformas så att
Det andra alternativet förutsätter att
De tekniska lösningarna specificeras närmare i bilaga 17. Förenklat kan dessa alternativ redovisas i enlighet med sammanställningen i följande figur.
36
SOU 2010:104 En ny nationell modell för
Tabell 3.1 |
Tekniska lösningar – alternativ |
|
|
|
|
|
|
|
|
Tjänst som hanterar förfarandet |
|
Uppgift |
|
Alternativ 1 |
Alternativ 2 |
Presentation av utkast |
I signeringstjänsten |
I |
|
Skapande av fingeravtryck av text för |
I signeringstjänsten |
I |
|
elektronisk underskrift |
|
|
|
Motta svar att användaren vill skriva |
I signeringstjänsten |
I |
|
under granskad text |
|
|
|
Identifiering av användaren |
I signeringstjänsten |
I signeringstjänsten |
|
Skapa nycklar och utfärda certifikat |
I signeringstjänsten |
I signeringstjänsten |
|
Tidsstämpla en färdig handling |
I signeringstjänsten |
I signeringstjänsten |
|
(om så begärs) |
|
|
|
Underskrift av text (fingeravtrycket) |
I signeringstjänsten |
I signeringstjänsten |
|
Foga samman till ett paket |
I signeringstjänsten |
I |
|
|
|
|
|
Det återstår att bedöma dessa alternativ från rättsliga utgångs- punkter. Som framgår av avsnitt 5.5.3 har även ett tredje alternativ med begränsad funktionalitet diskuterats för det fall en sådan rättslig prövning visar att en signeringstjänst enligt ovan inte är realiserbar.
3.8Attributstjänster
3.8.1Bakgrund
En traditionell legitimationshandling kan innehålla uppgift om roll, t.ex. att innehavaren är läkare eller anställd vid ett företag. Uppgifter av sådant slag lämnas dock vanligtvis i andra handlingar. Vid personliga möten används visitkort. Mottagaren brukar lita på sådana handlingar utan några kontroller. Ska en persons juridiska behörighet att företräda annan kontrolleras krävs ofta registreringsbevis utfärdade av en myndighet, t.ex. Bolagsverket, och i vissa fall traditionella undertecknade fullmakter. Vid kontroller för att motverka penningtvätt och i registreringsärenden hos Bolagsverket förekommer kopior av pass eller
5 En skriftlig fullmakt återkallas genom att den återtas eller rivs sönder. Det är därför betydelsefullt att originalhandlingen visas upp. Trots detta nöjer sig förlitande parter ofta med en kopia.
37
En ny nationell modell för |
SOU 2010:104 |
heller möjlighet att granska underskrifter genom att jämföra dem med det som återges i undertecknarens legitimationshandling.
Behövs en individs personnummer kan uppgiften samlas in och kontrolleras genom att granska dennes legitimationshandling. Ofta får individen dock själv fylla i personnummer, utan kontroll av legi- timation.6
När en viss roll är av betydelse – t.ex. för läkare i tjänsten – före- kommer att den anges i en traditionell legitimation. I
3.8.2Attributsintyg och innehåll
Intygen
Som framgått ska elektroniska intyg, s.k. attributsintyg, införas för att lämna motsvarande uppgifter om behörighet, uppdrag, roll eller andra egenskaper, som i traditionell miljö lämnas genom att visa upp en legitimation eller ge in registreringsbevis, fullmakter eller liknande handlingar. Härigenom ska myndigheters och företags e- tjänster smidigt kunna förses med ytterligare information om användare som legitimerar sig. Attribut kan vara ett eller flera och kan innehålla vilken information som helst – inom rimliga gränser – och de ”paketeras” på samma sätt som i ett identitetsintyg, dvs. i ett standardiserat format kallat SAML 2.0.
Det finns inga tekniska hinder mot att förse ett enda intyg med såväl identitetsinformation som attribut. Denna tekniska flexibilitet aktualiserar dock ett antal verksamhetsfrågor och rättsfrågor; vilka bör utfärda attributsintyg, hur bör de tekniska möjligheterna i praktiken tas tillvara och kan attributsintyg ersätta traditionella pappersbaserade handlingar så att kontroller kan utföras automatiserat?
6 Ett exempel är butiksbiträden som – utan att granska någon legitimationshandling – ber kunden att fylla i sitt personnummer på ”slipen” för kontokortsbetalning i samband med undertecknandet.
38
SOU 2010:104 |
En ny nationell modell för |
Valmöjligheter
Från juridiska utgångspunkter och sett från ett dokument- perspektiv blir valmöjligheterna många. Ska det intyg som utfärdas vid identifieringen (identitetsintyget), som ställs ut av identitets- utfärdaren, kompletteras med ett eller flera attributintyg? Intyg som innehåller attribut tar sin utgångspunkt i den identifierade personen, t.ex. genom att ange i vilken form denne är behörig att företräda ett visst företag eller har någon annan egenskap. E- tjänsteleverantören (förlitande part) får själv utvärdera informa- tionen för att kunna bedöma frågan om behörighet.
Om utgångspunkten för förfrågan i stället behöver vara företaget, för att inte bara utröna om en viss individ är behörig etc., utan inhämta fullständiga uppgifter om vilka individer som registrerats som behöriga eller har viss annan roll eller egenskap, måste detta göras som en kompletterande sökning, (utanför Infrastrukturen för identifiering) t.ex. genom Bolagsverkets XML- tjänst för registreringsbevis.
När
Exemplet med behörighetskontroll hos Skatteverket
Flera
39
En ny nationell modell för |
SOU 2010:104 |
dessa uppgifter. Denna process kan genomföras synligt eller osynligt för brukaren.
Exemplet med
Många myndigheter har relationer med företrädare för organisa- tioner, såväl inom näringsliv som offentlig sektor, där företrädare önskar använda en
I dessa fall kan personnumret lämnas till
Exemplet med behörighetstilldelning inom vård och omsorg
Ett attributsintyg kan som framgått användas för att visa behörighet i en
Särskilt om registreringsbevis m.m. från Bolagsverket
En central fråga är hur de beskrivna nya lösningarna bör tas tillvara när en
40
SOU 2010:104 |
En ny nationell modell för |
En annan mera komplicerad fråga är hur inloggning ska kunna ske när en företrädare inte ensam är behörig utan endast i förening med annan (jfr 8 kap. 39 § ABL) eller när behörigheten grundas endast på fullmakt? Bör ”elektronisk fullmakt” krävas – hur ska detta i så fall lösas (genom t.ex. kungörelsefullmakter eller särskilda register)? Bör nya funktioner införas i
Vid elektronisk identifiering för tillträde till en
Dessa komplexa frågor har blivit av praktisk betydelse i myndig- heternas arbete med mera avancerade
3.8.3Behov av reglering
Den tekniska standard och de programvaror och rutiner som numera finns att tillgå på området för identitets- och attributsintyg gör det praktiskt möjligt att i elektronisk miljö införa fungerande lösningar inte bara för att identifiera användare utan också för att få tillgång till och kontrollera uppgifter om juridisk behörighet liksom vissa roller eller personnummer. Samtidigt behöver emeller- tid juridiska bedömningar göras utifrån lag och rättspraxis och dessa regler kan inte ändras över en natt.
Det föreslås därför att hanteringen av attribut som rör juridisk behörighet vid användning av Svensk
41
En ny nationell modell för |
SOU 2010:104 |
vedertagna rutiner för sådana behörighetskontroller. Med aktie- bolag och dess företrädare samt aktiebolagsregistret som exempel föreslås att särskilda attributsintyg ska utfärdas av Bolagsverket, inom ramen för den infrastruktur
Bolagsverket bör ansöka hos
Bolagsverket bör lämna attributsintyg så att mottagaren automatiserat eller manuellt kan tolka uppgifterna. Myndigheter som behöver göra många sådana kontroller, t.ex. Skatteverket, bör kunna införa sina ”tolkningsparametrar” i program för automa- tiserade kontroller. På så sätt blir ansvarsfördelningen densamma som i dag. Bolagsverket lämnar utdrag ur aktiebolagsregistret och förlitande part tolkar dem, t.ex. bedömer om det är tillräckligt för den aktuella inloggningen eller underskriften om personen är verkställande direktör (jfr 8 kap. 36 § ABL).
Det behöver därmed finnas gränssnitt för både maskiner (tekniska gränssnitt) och för människor (användargränssnitt) som gör det enkelt att läsa attributsintygen såväl automatiserat som manuellt på bildskärm.
Denna lösning bör emellertid kompletteras med ett förenklat förfarande för mindre myndigheter som inte har förutsättningar att införa egna lösningar för automatiserade behörighetskontroller med stöd av attributsintyg. Bolagsverket överväger i denna del att skapa ett ”förenklat registreringsbevis” utifrån en klassificering för maskinell behandling. Genom en sådan tjänst skulle uppgifter sållas bort så att endast en kod anges i intyg till
42
SOU 2010:104 |
En ny nationell modell för |
Den första lösningen synes inte kräva någon författnings- reglering eftersom Bolagsverket alltjämt endast skulle lämna utdrag ur aktiebolagsregistret. Den förenklade lösningen kan däremot behöva författningsregleras. För att ett författningsförslag ska kunna läggas fram krävs emellertid närmare klarlägganden av hur lösningen ska utformas.
3.8.4Bedömning
Myndigheter hämtar redan i dag uppgifter om juridisk behörighet från Bolagsverket och det finns överenskommelser och regler om vad detta kostar och hur betalning ska ske. Dessa överens- kommelser och regler bör i princip kunna gälla även för tillhanda- hållande och betalning av elektroniska registreringsbevis och föreslagna förenklade förfaranden. Det bör därmed vara tillräckligt att Bolagsverket genom ett ansökningsförfarande ansluts av E- legitimationsnämnden till Infrastrukturen för Svensk
Utöver de ansöknings- och anslutningsavgifter som nämnden kan komma att ta ut av Bolagsverket och anslutna
Motsvarande synsätt bör tillämpas för andra myndigheter som med stöd av författning för register över juridiska personer och deras företrädare.
Attributsintyg beträffande annat än juridisk behörighet – t.ex. om viss roll eller om personnummer eller anställning hos viss juridisk person – kräver såvitt framkommit inte någon särskild författningsreglering. Det avgörande är att mottagande organ inom offentlig sektor kan lita på uppgifterna i attributsintygen. Sådant fog för tillit byggs upp inom Infrastrukturen för Svensk e- legitimation; jfr principen om fri bevisprövning. Infrastrukturens kvalitet och de funktioner som erbjuds synes därmed bli mera styrande än regler i lag eller förordning.
43
En ny nationell modell för |
SOU 2010:104 |
Det får antas att det finns ett betydande behov av uppgifter om behörighet i egenskap av firmatecknare eller fullmäktig. En marknad för att administrera och tillhandahålla tillförlitliga sådana uppgifter kan därmed förväntas växa fram. En fråga blir härvid vilka utfärdare av attributsintyg som ska få ingå i det utfärdarregister som ska föras av
Attributsutfärdare som anslutits till Infrastrukturen för identifiering ska således tillhandahålla uppgifter åt
3.9Behörighetshantering med stöd av attribut
Identitetsintyg och hur de används kan beskrivas relativt enkelt, i vart fall på ett övergripande plan. För hanteringen av attribut och
44
SOU 2010:104 |
En ny nationell modell för |
Attributsintyg är situationen en annan. Skilda regler och krav gäller inom olika delar av offentlig förvaltning, exempelvis för kontroller av juridisk behörighet med stöd av registerutdrag från Bolagsverket respektive kontroller inom hälso- och sjukvården för att få tillgång till uppgifter i patientjournaler. En närmare genomgång utifrån dessa exempel har visat att det behöver klargöras vad som ska ingå i den Infrastruktur för identifiering som
45
4Ett nytt valfrihetssystem för offentlig sektor
I detta kapitel lämnas ett förslag om ett valfrihetssystem på området för
4.1Bakgrund
4.1.1Valfrihetssystem
Lagen om valfrihetssystem
Lagen (2008:962) om valfrihetssystem (LOV) trädde i kraft den 1 januari 2009. Där regleras vad som ska gälla när en upphandlande myndighet beslutat att tillämpa valfrihetssystem beträffande vissa tjänster inom hälsovård och socialtjänster. Med valfrihetssystem menas ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra tjänsten och som en upphandlande myndighet har godkänt och tecknat kontrakt med.
Inom ramen för ett valfrihetssystem konkurrensutsätts en tjänst genom att brukarna av tjänsten ges möjlighet att välja mellan olika leverantörer som den upphandlande myndigheten tecknat avtal med. De ekonomiska villkoren för utförandet av tjänsten bestäms i avtal mellan den upphandlande myndigheten och leverantörerna.
En upphandlande myndighet som beslutat att tillämpa val- frihetssystem ska annonsera detta på en nationell webbplats som upprättats för ändamålet.1 På webbplatsen ska ett förfrågnings- underlag finnas tillgängligt. Förfrågningsunderlaget ska ange grunderna för den ekonomiska ersättningen till leverantörerna. Den upphandlande myndigheten får dessutom, genom angivande i annonsen eller förfrågningsunderlaget, ställa särskilda sociala och
1 Sådan webbplats tillhandahålls av Kammarkollegiet.
47
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
miljömässiga villkor eller andra villkor för hur ett kontrakt ska fullgöras.
Utgångspunkten vid inrättandet av ett valfrihetssystem är att alla de fysiska och juridiska personer som lämnat in en ansökan och uppfyller villkoren i förfrågningsunderlaget ska godkännas av den upphandlande myndigheten. Den upphandlande myndigheten får dock under vissa förutsättningar utesluta sökanden, t.ex. på grund av att en sökande har ekonomiska problem eller tidigare gjort sig skyldig till brott med avseende på yrkesutövningen.
Efter att den upphandlande myndigheten har godkänt en leverantör ska kontrakt tecknas med denne. En leverantör som anser att den upphandlande myndigheten brutit mot en bestämmel- se i LOV får ansöka om rättelse hos allmän förvaltningsdomstol.
Tillämpningsområdet för LOV är begränsat till valfrihetssystem som inrättas av kommunala myndigheter och vissa därmed likställda organ. Vidare är lagen begränsad till valfrihetssystem som avser tjänster inom hälsovård och socialtjänster, som är upptagna som
För kommunala myndigheter är tillämpning av valfrihetssystem enligt LOV ett frivilligt alternativ till upphandling enligt LOU. Kommunerna väljer alltså om upphandling ska ske genom att tillämpa valfrihetssystem eller om upphandling enligt LOU ska användas. Regeringen anförde i propositionen 2008/09:29 Lag om valfrihetssystem att det är kommunen som inom sitt område bäst kan avgöra om valfrihetssystem är möjliga och lämpliga att införa och vilka delar av verksamheten som ska ingå i valfrihetssystemet (s. 54).
En avgörande skillnad i förhållande till en upphandling enligt LOU är att alla leverantörer som godkänns får teckna kontrakt med den upphandlande myndigheten. Om en upphandling i stället genomförs enligt LOU ska den upphandlande myndigheten utse en vinnare bland leverantörerna.
När LOV infördes angavs att syftet var att sätta brukaren i fokus och att åstadkomma en maktförskjutning från politiker och tjänstemän till medborgare. Dessutom eftersträvades ökad valfrihet och ökat inflytande, fler utförare och större mångfald. Ett brukarinflytande förutsattes vidare öka kvalitén på tjänsterna.
De tjänster som LOV omfattar (vissa s.k.
48
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
varor och tjänster (upphandlingsdirektivet). Det fanns därför vissa möjligheter till nationell särlösning.
Regeringen har vidare konstaterat att kontrakt inom ett val- frihetssystem kan vara att bedöma som tjänstekoncessioner (prop. 2008/09:29 s. 55 ff.). Avgörande ansågs vara om utföraren bär risken för att etablera och driva verksamheten. Regeringen fann att utföraren i sådana tillämpningar där LOV avses gälla fick anses stå den ekonomiska risken inom ramen för valfrihetssystemet.
Tjänstekoncessioner omfattas inte av upphandlingsdirektivet och inte heller av lagen om offentlig upphandling. Tilldelning av en tjänstekoncession liksom själva tjänstekoncessionsavtalet måste emellertid överensstämma med
Eftersom kontrakt om valfrihetssystem enligt LOV bedömdes utgöra tjänstekoncessioner kunde LOV utformas utan hänsyn till vissa av de bestämmelser som finns i upphandlings- och rätts- medelsdirektiven.
Valfrihetssystem hos statliga myndigheter
LOV gäller som nämnts endast för valfrihetssystem inrättade av kommunala myndigheter och vissa med dem likställda organ. Frågan om statliga myndigheters inrättande av valfrihetssystem har behandlats i regeringens propositioner 2009/10:146 Valfrihet hos Arbetsförmedlingen och 2009/10:60 Nyanlända invandrares arbets- marknadsetablering – egenansvar med professionellt stöd.
Föreskrifter om valfrihetssystem hos Arbetsförmedlingen finns numera i lagen (2010:536) om valfrihet hos Arbetsförmedlingen. Ambitionen var att den offentliga arbetsförmedlingens kompetens och tjänsteutbud skulle kompletteras med flera olika aktörer i syfte att göra utbudet större och mer varierat. Regeringen fann att motiven bakom LOV fick anses giltiga också inom Arbets- förmedlingens verksamhetsområde, i den mån verksamheten inte skulle innefatta myndighetsutövning (prop. 2009/10:146 s. 15 ff.)
Lagen om valfrihet hos Arbetsförmedlingen är, till skillnad från LOV, inte begränsad till s.k.
49
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
EU:s upphandlingsdirektiv, anförde regeringen att
I lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare, har införts bestämmelser om att Arbetsförmedlingen ska tillhandahålla ett eller flera valfrihetssystem som ger nyanlända rätt att välja en av Arbetsförmedlingen godkänd och kontrakterad etableringslots.
4.1.2Behov av valfrihetssystem för Svensk
Behovet av mångfald gör sig särskilt starkt gällande på området för Svensk
Även inom ramen för den framtida lösningen för Svensk
Eftersträvad flexibilitet och anpassning till användares behov kan uppnås om Svensk
I arbetet med Infrastrukturen för Svensk
50
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
utfärdare som uppfyller valfrihetssystemets krav ska anslutas genom kontrakt med den myndighet –
Det har vidare visat sig att de
4.2Valfrihetssystem för identitetsintygstjänster
4.2.1En lag om valfrihet för Svensk
Förslag: En ny lag ska ge
51
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
Befintliga upphandlingsmöjligheter tillgodoser inte behoven
En utgångspunkt vid inrättandet av en Infrastruktur för Svensk e- legitimation är att mångfald och konkurrens ska eftersträvas på marknaden för elektronisk identifiering. Den lösning för samordning av hanteringen av elektronisk identifiering som E- delegationen föreslagit skulle innebära att samtliga leverantörer som uppfyller de uppställda kraven ska kunna få tillträde till marknaden. I utredningens direktiv har regeringen konstaterat att en sådan lösning kan förväntas förbättra förutsättningarna för en fungerande konkurrens på marknaden för elektronisk identifiering och skapa en frihet för användaren att välja den
En förutsättning för att de mål som ställts upp av regeringen ska kunna tillgodoses är att
Under utredningens arbete har emellertid den bedömningen gjorts att varken upphandling enligt LOU eller tilldelning av avtal genom en tjänstekoncession, utan särskild lagstiftning om valfrihetssystem för området, uppfyller kraven för att åstadkomma en Infrastruktur för Svensk
Upphandling av ramavtal enligt LOU innebär att upphandlande myndigheter antar en eller flera leverantörer för att i ett senare skede kunna avropa tjänster från dessa. När ramavtal ingås med flera leverantörer ska – om alla villkoren är fastställda i ramavtalet – kontrakt tilldelas den leverantör som rangordnats högst på grundval av de villkor som angetts i ramavtalet. Avsteg från rangordningen får inte göras. Om alla villkor inte är fastställda i ramavtalet ska i stället en förnyad konkurrensutsättning ske, där leverantörerna ska inbjudas att på nytt lämna anbud i enlighet med de villkor som anges i ramavtalet. Kontrakt ska tilldelas den leve- rantör som lämnat bästa anbudet på grundval av de tilldelnings- kriterier som angetts i förfrågningsunderlaget till ramavtalet.
Eftersom LOU, enligt ovan, anger uttömmande på vilka sätt en upphandlande myndighet kan genomföra en upphandling är det inte möjligt att på LOU grunda ett förfarande där samtliga leverantörer som uppfyller ställda kvalifikationskriterier antas, och där val av leverantör överlämnas till den som ska använda e- legitimation.
52
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
Upphandling av tjänstekoncession framstår följaktligen som ett lämpligare alternativ för att tillgodose de mål som ställts upp av regeringen. Den svenska upphandlingslagstiftningen är som fram- gått inte tillämplig på tjänstekoncessioner, vilket innebär att det är möjligt att, inom ramen för upphandling av tjänstekoncessioner, använda andra förfaranden än de som LOU tillhandahåller, bl.a. förfaranden där samtliga leverantörer som uppfyller ställda kvalifikationskriterier antas.
I utredningens arbete har emellertid den bedömningen gjorts att möjligheterna till rättsprövning av ett beslut om tilldelning genom tjänstekoncession är oklara och att författningsreglering därför behövs, såvitt avser möjligheten till rättsprövning, om alternativet tjänstekoncession ska väljas.
En författningsreglering krävs därför för att tillgodose de mål som regeringen ställt upp. Utredningen har härvid övervägt om E- legitimationsnämnden, efter författningsändringar, kan genomföra sina anskaffningar genom tjänstekoncessioner, i enlighet med det förfarande som anges i LOV.
Motiven bakom lagen om valfrihetssystem är giltiga för e- legitimationer
När LOV infördes angavs att syftet var att sätta brukaren i fokus och att åstadkomma en maktförskjutning från politiker och tjänste- män till medborgare. Dessutom eftersträvades ökad valfrihet och ökat inflytande, fler utförare och större mångfald. Ett brukarinflyt- ande förutsattes vidare öka kvalitén på tjänsterna; se regeringens proposition 2008/09:29 Lag om valfrihetssystem.
Samma intressen gör sig gällande på området för Svensk e- legitimation. Målen med en samordningsfunktion har angetts vara att
Ett valfrihetssystem i enlighet med det som genomförts genom LOV skulle ge
53
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
brukarledet genom att brukarna ges möjlighet att välja leverantör. Tjänster för Svensk
Ett valfrihetssystem enligt LOV kan följaktligen utgöra en lämplig struktur för att inrätta en Infrastruktur för Svensk e- legitimation.
Genomförande i en ny lag
Lagen om valfrihetssystem gäller, som tidigare nämnts, endast för valfrihetssystem inrättade av kommunala myndigheter och vissa organ som är likställda med dem. Författningsreglering är alltså en förutsättning för att
Inrättandet av valfrihetssystem för Svensk
Valfrihetssystem får inrättas för elektronisk identifiering
Valfrihetssystem som inrättas av
54
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
4.2.2Kontrakt inom valfrihetssystemet är tjänstekoncessioner
Bedömning: Valfrihetssystem som
En förutsättning för att en infrastruktur ska kunna inrättas enligt LOV:s förfaranderegler är att de offentliga kontrakt som E- legitimationsnämnden tecknar med Identitetsutfärdare anses vara tjänstekoncessioner. Om så inte är fallet blir LOU tillämplig vid upphandlingen. Där anges uttömmande på vilka sätt en upphand- lande myndighet kan genomföra en upphandling. Det blir därmed avgörande om inrättandet av ett valfrihetssystem för Svensk
Ett avgörande kriterium vid bedömningen av om ett avtal utgör en tjänstekoncession är om koncessionsinnehavaren ges rätt att utnyttja sina egna tjänster kommersiellt och därigenom tar en betydande ekonomisk risk (se t.ex. NOU:s yttrande i RK 2006:797). Kommissionen har uttalat följande i ovan nämnda tolkningsmeddelande:
Nyttjanderättskriteriet är avgörande när det gäller att fastställa om ett avtal är en tjänstekoncession eller inte. Enligt detta kriterium rör det
55
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
sig om en koncession, om tjänsteleverantören tar riskerna i samband med den tillhandahållna tjänsten (etablering och nyttjande) och tar ut ersättning av användaren, t.ex. via avgifter i vilken form det än vara må. Sättet på vilket tjänsteleverantören får ersättning är, liksom för byggkoncessioner, en faktor som gör det möjligt att fastställa vem som tar på sig risken i samband med nyttjandet. Tjänstekoncessioner kännetecknas, liksom byggkoncessioner, av att ansvaret för nyttjandet överförs på koncessionshavaren.2
Ett avtal kan alltså utgöra en tjänstekoncession om leverantören tar en risk i samband med den tillhandahållna tjänsten och leveran- tören tar ut ersättning av användaren, t.ex. i form av avgifter. Det sätt på vilket ersättning till tjänsteleverantören utgår är således en faktor som gör det möjligt att fastställa vem som står risken i sambandet med nyttjandet. Ersättningen kan dock utgå från den upphandlande myndigheten förutsatt att det är leverantören som bär risken för nyttjandet (se prop. 2009/10:60 s. 86 f.). Så blir fallet om det är användarna som styr till vem ersättning ska utgå.
Regeringen anförde i propositionen 2008/09:29, Lag om valfrihetssystem att ett kontrakt inom ramen för ett valfrihetssystem kan vara att bedöma som en tjänstekoncession (s. 55 ff.). Avgörande ansågs vara om utföraren bär risken för att etablera och driva verksamheten. Regeringen fann att utföraren i sådana tillämpningar där LOV avses gälla fick anses stå den ekonomiska risken inom ramen för valfrihetssystemet.
Motsvarande gäller för det valfrihetssystem som
Ett införande av föreslagen Infrastruktur för Svensk e- legitimation medför att de upphandlande myndigheterna förbinds att ta emot Identitetsintyg från de Identitetsutfärdare som användarna väljer. Myndigheterna kan därför inte styra vilken Identitetsutfärdare som ska få ersättning. Vidare är all ersättning
2 Kommissionens tolkningsmeddelande om koncessioner enligt
56
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
som Identitetsutfärdarna kan få enligt berörda upphandlings- kontrakt beroende av utfärdarnas förmåga att locka kunder. Identitetsutfärdarna får således, enligt denna modell, stå hela risken för nyttjandet av de upphandlade tjänsterna.
Det måste också beaktas att tjänsten för Identitetsintyg ska ses som en del i själva nyttjandet av
Till detta kommer att konkurrensen på marknaden kraftigt skulle begränsas om nyttjanderättskriteriet inte anses uppfyllt och LOU därför anses tillämplig, eftersom myndigheterna då skulle ha behövt välja en enda leverantör av Identitetsintyg. Dagens infrastruktur torde dessutom vid en sådan utveckling bli delvis avvecklad utan någon allmänt spridd ersättare eftersom trögheten hos användarna är betydande när det gäller att anskaffa en ny e- legitimation hos annan utfärdare.
Valfrihetssystem som
Till skillnad från vad som gäller för tjänstekoncession enligt LOV kommer Svensk
57
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
4.2.3Samordnat inrättande av valfrihetssystemet
Förslag: En kommun eller ett landsting ska få uppdra åt E- legitimationsnämnden att på kommunens eller landstingets vägnar besluta om godkännande av sökande och ingående av kontrakt eller på annat sätt genomföra och avsluta ett inrättande eller en förändring av ett valfrihetssystem enligt den nya lagen.
Bedömning: Ett ramavtal för inrättande av valfrihetssystem bör anses uppfylla krav på ramavtal eller andra gemensamma avtal enligt förordningen (1998:796) om statlig inköpssamordning.
Samordnat inrättande genom gemensamma avtal
Inom ramen för den föreslagna infrastrukturen ska ett stort antal myndigheter sluta avtal med Identitetsleverantörer om tillhanda- hållande av tjänster. Utgångspunkten för utredningens förslag är att
Enligt den föreslagna lagen ges
Detta hindrar emellertid inte att
Enligt befintliga regler får kommuner och landsting emellertid inte överlåta till extern part att fatta beslutet om vilken leverantör som ska tilldelas ett kontrakt; se vidare departementspromemorian Samordnad upphandling (Ds 2004:37). Vid en samordnad upp- handling måste tilldelningsbeslut därför fattas av varje kommun
58
SOU 2010:104 |
Ett nytt valfrihetssystem för offentlig sektor |
och landsting.3 Ett uppdrag att utreda frågan om utökade delegationsmöjligheter för kommuner och landsting vid samordnad upphandling har kort tid innan avlämnandet av detta betänkande lämnats till Utredningen om offentliga företag – upphandling, kontroll, insyn (dir. 2010:115). Det ska enligt detta direktiv utredas om det är lämpligt att införa en generell delegationsbestämmelse.
Inom ramen för vårt uppdrag har endast en begränsad delegationsbestämmelse övervägts, motsvarande vad som återfinns i 6 kap. 3 § lagen (2009:47) om vissa kommunala befogenheter. En sådan begränsad bestämmelse kan inte antas ha någon sådan inverkan på det kommunala självstyret eller upphandlings- marknaden att ett kommande förslag från Utredningen om offentliga företag – upphandling, kontroll behöver avvaktas; jfr Ds 2004:37 för en närmare diskussion rörande konsekvenserna av att tillåta extern delegation.
För att säkerställa att anslutningen till valfrihetssystemet inte blir mer omständlig och kostsam för kommuner och landsting än för statliga myndigheter, föreslår vi att även kommuner och landsting ska ges möjlighet att uppdra åt
Statlig inköpssamordning
I förordningen (1998:796) om statlig inköpssamordning anges att ramavtal eller andra gemensamma avtal ska finnas för varor och tjänster som myndigheterna upphandlar ofta, i stor omfattning eller som uppgår till stora värden. De tjänster som
Frågan är om gemensamma avtal för inrättande av valfrihets- system kan anses uppfylla krav på ramavtal eller annat gemensamt avtal. Begreppet ramavtal åsyftar, i upphandlingsrättsliga samman- hang, vanligen sådana ramavtal som avses i 2 kap. 15 § LOU. Vad
3 Se t.ex. departementspromemorian Samordnad upphandling (Ds 2004:37) s. 32, prop. 2009/10:180, Nya rättsmedel på upphandlingsområdet, s. 266 f., Statskontorets rapport
Offentliga inköpscentraler i Sverige
59
Ett nytt valfrihetssystem för offentlig sektor |
SOU 2010:104 |
som avses med ”annat gemensamt avtal” är emellertid inte helt klart. Ekonomistyrningsverket nämner, i en kommentar till förordningen, att det t.ex. kan vara samordnade inköpsavtal med preciserade kvantiteter enligt bindande avtal mellan parterna.4 I samma kommentar anger Ekonomistyrningsverket att de gemensamma avtal som förordningen nämner ska upphandlas enligt LOU, vilket inte blir fallet för valfrihetssystem enligt den nya lagen.
Det är uppenbart att syftet med förordningen om statlig inköps- samordning är att kostnadseffektivisera myndigheters inköps- verksamhet, inte att ställa upp upphandlingsrättsliga förfarande- regler (se 1 §).5 Det kan därför anses rimligt att innefatta gemen- samma avtal för inrättande av valfrihetssystem i förordningens uppställda krav på ramavtal eller annat gemensamt avtal.
Gemensamma avtal för inrättande av valfrihetssystem bör därför anses uppfylla krav på ramavtal eller andra gemensamma avtal enligt förordningen om statlig inköpssamordning. Några författnings- ändringar behövs därmed inte i denna del. Detta innebär vidare att myndigheter under regeringen ska använda sig av sådant gemensamt avtal om myndigheten inte finner att en annan form av avtal sammantaget är bättre.
4Se
5Se även prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 41, Statskontorets rapport En effektivare statlig inköpssamordning (2009:12), Ekonomistyrningsverkets information på
60
5Ett regelverk för infrastrukturen för Svensk
I detta avsnitt beskrivs hur den Infrastruktur för Svensk e- legitimation som föreslås ska kunna realiseras genom författnings- reglering och civilrättslig reglering.
5.1Flera samverkande regleringar
För att den föreslagna modellen till en ny Infrastruktur för Svensk
Två grundläggande komponenter i en författningsreglering av området har redan berörts, nämligen
1.Förslag till lag om valfrihet för Svensk
2.Beslutad förordning med instruktion för
Ytterligare reglering genom förordning kan dock visa sig behövas genom dels kompletteringar i
61
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
Det planeras vidare att
Till detta kommer de civilrättsliga regler som behövs inom Infrastrukturen för Svensk
Det bör samtidigt noteras att det inte finns några vedertagna författningstekniska eller avtalstekniska lösningar för hur en infrastruktur av aktuell omfattning och betydelse bör regleras. Erfarenheter från området för
62
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
5.2Utkast till förordning om Infrastrukturen för Svensk
Den reglering av det planerade valfrihetssystemet som föreslås i lag och motiven till denna reglering kommer visserligen att ge en övergripande beskrivning av den Infrastruktur för Svensk
1.vilka aktörer som ska ingå i denna infrastruktur – att bara myndigheter och vissa jämställda organ inom offentlig sektor ska få anslutas i egenskap av
2.vilka register som ska ingå i Infrastrukturen för identifiering, vilka som ska få registreras i dessa register och vem som ska svara för dem – att utfärdar- och
3.hur infrastrukturen ska användas – att bl.a. legitimering, elek- tronisk underskrift samt autentisering och äkthetskontroll ska kunna ske, och
4.vilka regler som ska gälla för bl.a. anslutningsförfarandet, avgifter, användning och ansvar.
Utvecklingen på området är snabb. En närmare beskrivning i lag skulle därmed, som framgått, snabbt kunna komma i konflikt med och kanske rent av hindra att kommande tekniska landvinningar tas tillvara. Vissa funktioner inom den planerade infrastrukturen blir dessutom av sådan betydelse att en författningsreglering kan ses som en naturlig del av en reglering. En särskild förordning om Infrastrukturen för Svensk
Vidare bör normgivningskompetens delegeras så att detaljerade och tekniskt relaterade regler för en Infrastruktur för Svensk e- legitimation kan ges genom myndighetsföreskrifter, antingen som
63
Ett regelverk för infrastrukturen för Svensk
verkställighetsföreskrifter eller med stöd av den s.k. rest- kompetensen; 8 kap. 13 § regeringsformen (RF).
En sådan förordning om Infrastrukturen för Svensk
Som en första del i en sådan förordning bör definitioner ges av centrala begrepp, se bilaga 4.
Här kan inte nog betonas vikten av att den föreslagna, delvis komplexa infrastrukturen beskrivs och betecknas på ett enhetligt sätt, inte bara i författning utan även i det civilrättsliga regelverk som ska införs genom avtal vid anslutning till valfrihetssystemet.
Regler bör vidare ges, i en förordning om Infrastrukturen för Svensk
I denna del behövs föreskrifter för att tillgodose behovet av persondataskydd, genom att – så långt det är möjligt – förbjuda att personuppgifter behandlas. Det bör dessutom i tydlighetens intresse särskilt anges att uppgifter om vilken kommunikation som ägt rum med eller mellan användare och
Det bör dessutom – med hänsyn till infrastrukturens karaktär – föreskrivas att de tekniska och administrativa lösningarna ska utformas så att så få personuppgifter som möjligt samlas in, lämnas ut eller annars behandlas och att inte fler uppgifter än nödvändigt samlas in och bevaras så att de blir direkt tillgängliga. Samtidigt kan bestämmelser behövas för att säkra sådan åtkomst i elektronisk form
64
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
till de uppgifter i registren som krävs för att infrastrukturen ska kunna användas på ett fungerande sätt.
Anslutning till registret torde ske genom beslut av
Det behöver också övervägas i vilken mån bestämmelserna i 2 kap. 10 och 11 §§ tryckfrihetsförordningen (TF) kan bli tillämpliga på detta material. Möjligen kan vissa föreskrifter behöva ges om uppgiftshanteringen.
5.3Valfrihetslag och civilrättslig reglering
5.3.1En lösning genom avtal
Med det valfrihetssystem som föreslagits (kapitel 4) följer att civil- rättsliga avtal sluts med alla identitetsutfärdare. Dessa avtalsslut avses leda till ett kontraktuellt förhållande mellan bl.a. varje identitetsutfärdare och varje
Om en lösning med avtal inte valts hade det dessutom krävts lagstiftning. Med den föreslagna inriktningen får marknaden delvis utforma affärsmodeller och lösningar. Eftersom det till stora delar
65
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
är osäkert hur denna marknad kommer att utvecklas saknas under- lag för att utforma en reglering som har den stabilitet och förankring i vedertagna synsätt som brukar krävas i ett lag- stiftningsärende. Valfrihetssystemet ger dessutom utrymme för anpassningar över tiden, vilket är en viktig del i utvecklingen av en Infrastruktur för Svensk
Olika kontraktuella förhållanden uppstår således direkt genom valfrihetssystemet. I det följande redogörs översiktligt för dessa och hur regler för denna infrastruktur kan införas genom avtal.
5.3.2
Avtalsregleringen mellan identitetsutfärdare och respektive e- tjänsteleverantörer ska omfatta t.ex. identitetsutfärdarens ansvar för de leveranser som sker. Samtidigt införs genom referens i de avtal som tecknas ett generellt regelverk för infrastrukturen – regelverket för Infrastrukturen för Svensk
Genom att avtal sluts med alla aktörer inom Infrastrukturen för Svensk
66
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
avtalsinnehåll får åta sig att följa regelverket kan mellanhavandena i allt väsentligt hanteras genom civilrättslig reglering. Denna lösning är enligt vår mening den lämpligaste formen för att etablera Infrastrukturen för Svensk
5.3.3Identitetsutfärdare och användare
Innehållet i de avtal som sluts mellan identitetsutfärdare och användare bestäms i allt väsentligt av utfärdaren och användaren. Mot bakgrund av den typ av standardiserade tjänster som det blir frågan om får det dock i praktiken antas att identitetsutfärdaren använder sig av standardavtal för
I de avtal som
1 I 2 kap. 21 § bankrörelselagen (1987:617), som numera ersatts av 9 kap. 4 § lagen (2004:297) om bank- och finansieringsrörelse infördes begränsningar i lag så att motbok eller annat bevis, som en bank utfärdar om tillgodohavande på räkning, ska ställas till viss man och innehålla att överlåtelse får ske endast till viss man samt att överlåtelsen bör anmälas hos banken, som inte får träffa förbehåll om rätt att åberopa betalning till annan än rätt innehavare av motbok. Bakgrunden var den att enskilda, efter stöld av bankbok blivit av med hela sitt sparkapital genom att det tagits ut och banken kunde åberopa att innehavaren ansågs behörig. På motsvarande sätt har det – till följd av alltför långtgående friskrivningar – i 34 § konsumentkreditlagen (1992:830) föreskrivits att avtalsvillkor som innebär att en kontohavare ska vara betalningsskyldig för ett belopp som har påförts kontot genom att ett kontokort har använts av någon obehörig person får göras gällande endast om kontohavaren eller någon annan som enligt kontoavtalet är behörig att använda kontokortet har (1.) lämnat ifrån sig kortet till någon annan, (2.) genom grov oaktsamhet förlorat kortet eller (3.) på något annat sätt förlorat besittningen av kortet och inte snarast efter upptäckten anmält förlusten hos kreditgivaren. Denna bestämmelse, som upphävts den 1 augusti 2010, har ersatts med lagen (2010:738) om obehöriga transaktioner med betalningsinstrument.
67
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
Svensk
De allmänna villkor som införs för Infrastrukturen för Svensk e- legitimation bör kunna spela en roll även i denna del genom att det där ställs krav även på avtalen mellan identitetsutfärdare och användare. Juridisk samordning och anpassning till vad som är en rimlig riskfördelning kan därmed uppnås även i denna del.
Det kvarstår emellertid att
Även i denna del finns paralleller mellan regleringen i avtal av Infrastrukturen för Svenska
Inom ramen för det arbete som ledde fram till dagens
Motsvarande samordning bör ske inför ett införande av en ny infrastruktur. Härvid bör emellertid regler införas också i allmänna
68
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
villkor som ska gälla för Infrastrukturen för Svensk
5.3.4Nämnden,
Genom att
Därmed skapas, på liknande sätt som på det finansiella området, en infrastruktur utifrån civilrättsliga överenskommelser där vissa centrala funktioner ingår såväl tekniskt som administrativt och i huvudsak regleras genom avtal. I den mån marknadens utveckling skulle medföra att avtal inte längre kan utgöra enda styrmedlet kan regler i lag eller förordning övervägas, t.ex. till följd av att särskilt skydd behövs för svagare part eller för persondata.
Den planerade infrastrukturen kan också visa sig få sådan betydelse att författningsreglering krävs, t.ex. vid utredningar av brott där elektronisk kommunikation har använts eller där samhällets säkerhet kräver det. På detta stadium har emellertid förutsättningarna inte klarnat tillräckligt för att dessa frågor ska kunna bedömas och det har i tidigare lagstiftningssammanhang visat sig svårt att förutse utvecklingen och införa tydliga regler; jfr t.ex. de komplikationer som särskilda s.k. registerlagar fört med sig.
I de delar där
69
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
5.4Anvisningstjänsten respektive infrastrukturcertifikat
Anvisningstjänsten fungerar, som framgått av avsnitt 3.6, som ett stöd för användarens val av
Så som denna tjänst fungerar blir det naturligt att se
På liknande sätt finns certifikat för varje aktör i utfärdar- och e- tjänsteregistren. Vid förfrågningar och svar genom intyg inom Infrastrukturen för identifiering används dessa infrastruktur- certifikat automatiserat, för att motverka förfalskningar eller andra liknande manipulationer. Här involveras emellertid inte användaren. Detta skydd bör därmed i juridisk mening uppfattas som en av de funktioner som
5.5Signaturtjänsten
5.5.1Behov av överväganden
Enligt avsnitt 3.7 bör de där beskrivna tjänsterna för elektroniska underskrifter (signeringstjänsten) om möjligt utformas dels så att kvalificerade certifikat utfärdas momentant, dels så att en säker anordning för signaturframställning tillhandahålls, så att de elektroniska underskrifterna kan anses vara kvalificerade. Förenklat kan detta beskrivas så att användaren – efter att ha granskat den aktuella texten inför underskrift – vidtar en aktiv handling (att klicka på knappen ”Jag skriver under”). Användaren får därvid legitimera sig för signeringstjänsten med sin ordinarie
70
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
underskrift skett. På så sätt kan den privata nyckeln inte därefter missbrukas av någon för ytterligare underskrifter. Det använda engångscertifikatet och den publika nyckeln bevaras emellertid under den tid detta krävs.
Från juridiska utgångspunkter aktualiseras i huvudsak två frågor. För det första behöver det bedömas om engångscertifikatet och de tekniska hjälpmedel som i övrigt tillhandahålls åt under- tecknaren i signaturtjänsten kan användas så att en elektronisk underskrift blir att anse som en kvalificerad elektronisk signatur enligt lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen); dvs. för att underteckna med en avancerad elek- tronisk signatur, baserad på ett kvalificerat certifikat och skapad av en säker anordning för signaturframställning.
Det behöver för det andra bedömas vem som i juridisk mening ska anses som utfärdare av engångscertifikaten och tillhandahållare av den säkra anordningen samt vad som i övrigt kan ingå i signaturtjänsten.
5.5.2Signaturlagen och signaturtjänsten
Frågan om den planerade signaturtjänsten kan användas för kvalificerade elektroniska signaturer behöver bedömas i två led. Det första ledet rör huruvida definitioner och rekvisit i signatur- lagen och bakomliggande direktiv kan förenas med en signatur- tjänst. Om så är fallet behöver det, som ett andra led, bedömas om de säkerhetslösningar som krävs inom Infrastrukturen för Svensk e- legitimation kan nå upp till signaturlagens och direktivets krav.
De definitioner som främst berörs är ”avancerad elektronisk signatur”, ”kvalificerat certifikat”, och ”säker anordning för signaturframställning” (hit hör även definitionen av ”anordning för signaturframställning). Kvalificerad elektronisk signatur definieras nämligen som en avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat och som är skapad av en säker anordning för signaturframställning.
I signaturlagen ges uppräkningar av krav för att sådana signaturer, certifikat och anordningar ska anses föreligga. En översiktlig granskning har visat att dessa krav är utformade så att hinder i princip inte synes föreligga mot att använda en signerings- tjänst för att skriva under med en kvalificerad elektronisk signatur.
71
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
Det finns emellertid skäl att närmare överväga vad som enligt lagen och direktivet menas med att
1.en avancerad elektronisk signatur måste vara skapad med hjälp- medel som endast undertecknaren kontrollerar (2 §), och
2.den som tillhandahåller certifikattjänster inte ska lagra eller
kopiera uppgifter för skapande av signaturer (direktivet Bilaga II j).
Kravet på att signaturerna ska vara skapade med hjälpmedel som endast undertecknaren kontrollerar kan tolkas antingen så att undertecknaren ensam måste ha fysisk kontroll över hjälpmedlet (den privata nyckeln) eller så att det räcker att undertecknaren ensam har logisk kontroll över detta hjälpmedel. Vår preliminära bedömning är att varken den svenska lagstiftningen eller direktivet utesluter en lösning som bygger på att undertecknaren, till följd av logiska lösningar, ensam får anses ha kontrollen över den privata nyckeln.2 På detta stadium i utredningsarbetet torde emellertid underlag saknas för att bedöma om de säkerhetslösningar som väljs kan antas uppfylla signaturlagens krav.
Kravet i signaturdirektivet på att den som tillhandahåller certifikattjänster inte ska lagra eller kopiera uppgifter för skapande av signaturer har enligt lagmotiven införts genom såväl 9 § som 11 § signaturlagen. Av 9 § följer bl.a. att en certifikatutfärdare som utfärdar kvalificerade certifikat, se bilaga 10, till allmänheten ska bedriva verksamheten tillförlitligt och i förekommande fall se till att framställandet av signaturframställningsdata sker konfidentiellt (dessa data måste genereras på ett sådant sätt att de inte röjs för obehöriga, prop. 1999/2000:117 s. 73). I 11 § andra stycket föreskrivs vidare att certifikatutfärdaren inte får lagra eller kopiera signaturframställningsdata. Det är nämligen väsentligt för tilltron till elektroniska signaturer att det verkligen bara är undertecknaren
som |
har |
tillgång |
till |
signaturframställningsdata |
(prop. 1999/2000:117 s. 74). |
|
|
Rättsläget får anses oklart. Vår preliminära bedömning är emellertid att varken den svenska lagstiftningen eller direktivet bör anses utesluta en lösning där de privata nycklarna finns på en central server, förutsatt att det tekniska och administrativa skyddet
2 Jfr även professor Henrik Udsen, Köpenhamns Universitet,
Notat om anvendelsen af serverbaserede losninger for kvalificerede elektroniske signaturer
72
SOU 2010:104 |
Ett regelverk för infrastrukturen för Svensk |
utformats så att utfärdaren inte kan kopiera eller annars missbruka de privata nycklarna utan att detta upptäcks.3
Vi får i det fortsatta arbetet återkomma till den rättsliga bedömningen av dessa fysiska respektive logiska skydd.
5.5.3Alternativa metoder
Användare måste ges möjlighet till elektronisk underskrift inom ramen för en infrastruktur för Svensk
5.6Utfärdarens ansvar för intyg
Den föreslagna Infrastrukturen för identifiering innebär som framgått att Identitets- och
En skillnad är visserligen att en juridisk person inte kan förordnas till notarius publicus – rollen som utfärdare är tänkt att fullgöras av juridiska personer – en annan att det i allt väsentligt
3Jfr i föregående not anfört arbete, med hänvisningar.
4Genom förordningen (1982:327) om notarius publicus säkerställs dessutom att det finns tillgång till sådana befattningshavare (de förordnas av länsstyrelsen) och att de som förordnas har tillräcklig kompetens och är lämpliga för uppdraget. Det föreskrivs också att Notarius publicus skall fullgöra sitt uppdrag med redlighet, noggrannhet och opartiskhet och inte får befatta sig med ett ärende, om det angår honom själv eller om någon annan särskild omständighet föreligger som är ägnad att rubba förtroendet till hans opartiskhet.
73
Ett regelverk för infrastrukturen för Svensk |
SOU 2010:104 |
blir fråga om helt automatiserade kontroller där intyg förses med en elektronisk stämpel. Den juridiska modellen bör emellertid kunna bli densamma. Det kan inte heller uteslutas att en Identitetsutfärdare i undantagsfall, när en funktion fallerat eller ifrågasatts, kan behöva utföra manuella åtgärder och upprätta elektroniskt underskrivna intyg eller intyg på papper.
Införandet av den nya infrastrukturen bör därmed kunna förenklas genom att beskriva Identitetsutfärdare som en slags motsvarigheter till notarius publicus och knyta an till de rättsregler som gäller för notarius publicus verksamhet. Att affärsmodellen för denna infrastruktur kan påverkas av valet mellan öppna respektive slutna system för
Beträffande Attributsintygen är situationen delvis en annan. För utfärdare som redan idag ställer ut intyg i enlighet med regler i författning – t.ex. registreringsutdrag utfärdade av Bolagsverket – finns en vedertagen syn på ansvarets gränser och fördelningen av risker. Dessa förutsättningar bör inte ändras bara för att elektroniska rutiner införs. För andra som ska börja utfärda intyg kan frågan om ansvarsfördelning inte bedömas utifrån redan införda rutiner. Dessa olika bedömningar av hur risker ska fördelas torde inte kunna göras generellt. Frågan bör i stället bedömas från tillämpning till tillämpning.
74
6 Tillitsramverk
I detta avsnitt presenteras utredningens förslag till tillitsramverk för Svensk
6.1Utgångspunkter
En Infrastruktur för identifiering bör ta sin utgångspunkt i ett tillitsramverk byggt på internationell standard och medge den flexibilitet som den föreslagna Infrastrukturen för Svensk e- legitimation och internationell samverkan kräver.
De flesta av de internationella ansträngningar som gjorts för att definiera nivåer av tillit vid användning av
Ett betydelsefullt arbete för att utarbeta ett internationellt tillitsramverk bedrivs nu också inom International Organization for Standardization och International Electrotechnical Commis- sion (ISO/IEC). Det kommande resultatet av detta arbete, ISO/IEC 29115, som förväntas bli internationell norm på området,
1
75
Tillitsramverk |
SOU 2010:104 |
bygger på dokument som publicerats inom det s.k. Kantara Initiative Identity Assurance Framework (Kantara IAF).
Utredningens förslag
Under förutsättning att det fortsatta arbetet inom ISO/IEC leder till resultat som är förenliga med behoven inom den föreslagna Infrastrukturen för identifiering bör Sverige följa denna interna- tionella standard.
I avvaktan på detta resultat bör ett tillitsramverk införas som har sin förankring i de tidigare nämnda publikationerna. De har alla gemensamt att de definierar fyra tillitsnivåer (AL)2 för e- legitimering, i syfte att möta olika nivåer av risk och olika krav på användbarhet. Dessa tillitsnivåer svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara.
Något förenklat kan tillitsnivåerna beskrivas som en måttstock, där en lägre indikering på skalan motsvarar enklare användning och utgivning, lägre kostnader, men också en lägre skyddsnivå. Högre klassificering medför högre kostnader för såväl utgivande som användande, men leder till att en högre grad av tillit kan fästas vid identifieringen.
Vid en tillämpning av dessa internationella normer har det, såvitt hittills framkommit, visat sig ändamålsenligt att för Svensk e- legitimation kräva en tillitsnivå som motsvarar nivå 3 (AL3) eller högre. Detta innebär att utgivare av Svensk
Tillitsnivå 3 är också den nivå som ligger närmast de av ram- avtalsleverantörerna idag utgivna
2 AL är en förkortning av den internationella termen för tillitsnivå, ”Assurance Level”, som används såväl i Kantara IAF som i
76
SOU 2010:104 |
Tillitsramverk |
certifikatbaserade. Detta förväntas kunna leda till en högre använd- barhet och större spridning inom fler samhällsgrupper. Om det visar sig att en betydande del av de redan utgivna
En förutsättning för att en Svensk
Tillitsnivåerna specificeras närmare i bilaga 9.
77
7Informationssäkerhet och persondataskydd
I detta avsnitt beskrivs att informationssäkerheten behöver prioriteras. Det betonas att det är av central betydelse för den föreslagna modellen för
7.1Informationssäkerheten behöver prioriteras
Enligt utkastet till regelverk för Infrastrukturen för Svensk
Regler om informationssäkerhet finns dessutom i den bilaga där en närmare redovisning ges av ett tillitsramverk (bilaga 9). Här har emellertid det internationella standardiseringsarbetet rörande e- legitimationer och identitetsfederationer varit den främsta inspirationskällan.
Reglerna i dessa två utkast överlappar delvis varandra. Materialet ska emellertid ses som ett första underlag inför en grundläggande genomlysning där inte bara Infrastrukturen för identifiering utan hela Infrastrukturen för Svensk
79
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
organisatoriska och samhälleliga informationssäkerhetssamman- hang. Härvid behöver också närmare övervägas hur Infrastrukturen för Svensk
En närmare analys behövs också av hur standarderna för informationssäkerhet ska kunna tillämpas i detta sammanhang där huvudfrågan är identifiering med stöd av
7.2Persondataskyddet ska säkerställas
7.2.1Frågor av central betydelse
Det är av central betydelse för den föreslagna modellen för
Efter att utredningens delredovisning II lämnats har den registrering och annan behandling av personuppgifter som kan bli följden av Infrastrukturen för Svensk
80
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
är vem eller vilka som ska anses vara personuppgiftsansvariga för de behandlingar som avses ske inom olika delar av Infrastrukturen för Svensk
7.2.2Inga personuppgifter i registren
Det föreslås som framgått att
•ett Utfärdarregister över de Identitets- och Attributsutfärdare som ansluts till Infrastrukturen för identifiering, och
•ett
I dessa register ska uppgifter finnas om elektronisk adress till anslutna aktörer, vilken information respektive
Dessa begränsningar är av sådan betydelse från persondata- skyddssynpunkt att de bör framgå av författning. I en förordning om Infrastrukturen för svensk
När utvecklingen av Infrastrukturen för identifiering kommit så långt att förutsättningarna klarnat i detalj bör frågan om person- uppgifter kan förekomma övervägas på nytt. Skulle det därvid visa sig att det inte kan uteslutas att en uppgift kan förekomma som
81
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
indirekt kan hänföras till en individ bör den föreslagna föreskriften om förbud mot behandling av personuppgifter begränsas till sådana som direkt kan hänföras till en person som är i livet.
7.2.3Personuppgifter inom infrastrukturen
Inom Infrastrukturen för identifiering ska
Figur 7.1 Flöde av uppgifter och handlingar
|
|
|
|
|
|
|
Register |
|
|
Register |
|
(Typ SPAR) |
Bevarar uppgifter i elektronisk |
|
|
2 |
|||
|
|
akt – även från registerkoll, |
||
|
|
|
|
efter fråga dit |
System för utfärdande av |
|
System för utfärdande av |
System för utfärdande av |
|
attributsintyg) |
Begäran om attribut |
identitetsintyg |
|
|
5 |
3 |
|
|
|
|
för person |
Identitetsintyg |
1 |
|
|
|
|||
Attributsintyg |
4 |
|
|
Ansökan om |
|
|
|
|
uppgifter om sig |
|
|
|
|
1.Användare ansöker om Svensk
2.Utfärdaren bevarar uppgifter om sökanden i en elektronisk akt, håller dem uppdaterade och registrerar de uppgifter som be- hövs om spärr.
82
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
3.Utöver det system som Identitetsutfärdaren behöver för att hantera
4.Behövs även attribut i
5.Hos Attributsutfärdaren finns ett system för utfärdande av Attributsintyg där utfärdaren skapar ett intyg och sänder det till
I de här beskrivna delarna blir det fråga om personuppgifter. Hela hanteringen tar nämligen sikte på att knyta uppgifter till en viss individ, att på tillräckligt säkert sätt se till att intyg är utfärdade av angiven utställare (en Identitets- eller Attributsutfärdare) och att säkerställa en sådan hantering att det finns skäl för mottagaren att lita på att uppgifterna är riktiga.
7.2.4Personuppgiftsansvar och begränsningar av elektroniska spår
Enligt 3 § personuppgiftslagen (1998:204; PUL) är den personupp- giftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning betecknas personuppgiftsbiträde. Bedömningar av dessa gränsdragningar med anknytning till komplex infrastruktur har nyligen gjorts av den s.k. Artikel
Artikel
83
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
tillsammans, med olika grader av självständighet och ansvar. Gruppen har härvid betonat att efterlevnaden av bestämmelserna om persondataskydd måste kunna garanteras. Samtidigt har gruppen konstaterat att den konkreta tillämpningen blivit svårare när berörda
Vilka aktörer som skulle kunna ha ett personuppgiftsansvar framgår något förenklat av följande figur.
Figur 7.2 Aktörer med personuppgiftsansvar
|
RegisterförarenRegister– behöver |
|
||
|
(Typ SPAR) |
|
||
Register |
inte regleras |
Bevarar uppgifter i elektronisk |
||
2 |
||||
|
akt – även från registerkoll, |
|||
|
|
|
efter fråga dit |
|
Attributsutfärdarna kan behöva |
|
|
|
|
regleras för att undgå känsliga |
Utfärdaren(av |
|||
uppgiftssamlingar (=lagringsförbud i |
känsliga uppgiftssamlingar |
|
|
|
(lagringsförbud i intygsdelen) |
||||
intygdelen) |
|
|
|
för person |
Identitetsintyg |
|
Attributsintyg
1
Ansökan om
Användaren – behöver inte regleras
84
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
Som framgått uppkommer inget personuppgiftsansvar för
De som för register som ska användas av Identitets- och Attri- butsutfärdare för vissa kontroller (registerföraren i figuren ovan) är personuppgiftsansvariga för sina register och de behandlingar som de utför för att lämna ut uppgifter till utfärdarna. För detta behövs inte någon särskild reglering. De behandlingar som innehavare av e- legitimationer (se användaren i figuren ovan) utför med sin e- legitimation behöver inte heller regleras särskilt. Utformas denna hantering rätt bör den kunna avgränsas så att det varken upp- kommer någon tvekan om vem som har personuppgiftsansvaret för de olika behandlingarna eller några särskilda risker från persondata- skyddssynpunkt.
Därmed återstår
På så sätt undviks att personuppgifter samlas in när det inte är nödvändigt och att känsliga personuppgiftssamlingar uppkommer hos Identitets- och Attributsutfärdare. Dessa risker skulle bli sär- skilt kännbara om t.ex. en utfärdare blir helt dominerande på marknaden eller dessa funktioner utkontrakteras till en och samma
85
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
underleverantör. Ges sådana system en olämplig utformning skulle det kunna skapas en närmast komplett bild av Användares kon- takter och kommunikationsvägar i elektronisk miljö. Det bör härvid föreskrivas att sambearbetningar av uppgifter, som rör kom- munikation för elektronisk legitimering eller elektronisk under- skrift, inte får ske mellan olika Identitets- eller Attributsutfärdare. Dessa system behöver istället avgränsas och skyddas så att de kan vinna allmänhetens tillit från både säkerhets- och persondata- skyddssynpunkt; se 15 § förslaget till förordningen om Infrastrukturen för svensk
Beträffande system för att utfärda Svensk
86
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
nödvändiga för att utfärda eller upprätthålla själva certifikatet. I denna del bör emellertid signaturlagen och bakomliggande direktiv tolkas så att utfärdande och användning av Identitets- och Attributsintyg får ses som en integrerad del i hanteringen av e- legitimationer, som inom föreslagen infrastruktur får anses nödvändig, även för att upprätthålla
Till denna fråga om hur 16 § andra meningen signaturlagen ska förstås kommer de fall där en utfärdare vill tillhandahålla uppgifter som kan uppfattas som bra att ha för Användare eller utfärdare, men som inte är nödvändiga för att utfärda eller upprätthålla certifikat eller intyg. Användningen i paragrafens andra mening av ”uppgifterna” i bestämd form skulle visserligen kunna läsas så att inga andra uppgifter än de som avses i första meningen skulle få användas för andra ändamål. Detta kan emellertid knappast ha varit avsikten. Har den registrerade lämnat sitt uttryckliga samtycke till att andra uppgifter behandlas torde dessa behandlingar således få äga rum. Samma tolkning får göras av den bestämmelse som föreslagits i 13 § förslaget till förordningen om Infrastrukturen för svensk
Det framstår däremot som naturligt att
Mot dessa begränsningar får ställas de behov av spårbarhet som kan visa sig finnas för att motverka och beivra förfalskningar och andra missbruk.
87
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
Utformas Infrastrukturen för Identifiering på detta sätt bör frågan om fördelning av personuppgiftsansvar kunna bli förhållan- devis enkel genom att personuppgiftsansvaret flyttas över stegvis som i en slags stafett när en transaktion för legitimering, underskrift, identifiering av den som legitimerat sig eller kontroll av en underskrifts äkthet flödar genom Infrastrukturen för Svensk
Genomförs en sådan enkel lösning i enlighet med personupp- giftslagens reglering – utan något för aktörer gemensamt person- uppgiftsansvar – och stöds den av en systemuppbyggnad i enlighet med denna modell, så att gränserna blir tydliga, krävs ingen särskild författningsreglering av personuppgiftsansvaret inom Infrastrukturen för Identifiering.
Även i övrigt bör personuppgiftslagens regler kunna tillämpas utan någon särreglering.
På en punkt bör emellertid
88
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
7.2.5Bättre skydd genom tekniska anpassningar
När personuppgifter ska behandlas av olika aktörer, på olika platser och med olika skyddsmekanismer och skilda administrativa lösningar har det visat sig att författningsregleringens teknik- neutrala bestämmelser inte alltid fungerat som ett tillräckligt styrmedel. Persondataskyddet har kunnat motverkas redan vid valet av teknisk lösning. Forskning har därför initierats för att ta fram tekniska lösningar, byggda för att främja persondataskyddet; s.k. integritetsfrämjande teknik (eng.
-behandlingen av personuppgifter minimeras,
-avidentifierade uppgifter eller pseudonymer används,
-vissa uppgifter krypteras eller blockeras, och
-policies för integritetsskydd analyseras automatiserat så att den som t.ex. besöker en webbplats enkelt kan göra välgrundade bedömningar av vilket skydd som ges.
Den Infrastruktur för identifiering som föreslås bygger på en standard (SAML) som är särskilt utformad för att kunna tillgodose sådana behov. Rätt utformad kan alltså Infrastrukturen för identifiering göra det svårare rent tekniskt att genomföra kränkningar av den personliga integriteten.
Som exempel på integritetsfrämjande teknik kan nämns bl.a. användningen av
89
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
Frågor om integritetsfrämjande teknik har nyligen behandlats också i Norges offentliga utredningar (NOU 2009:1) Individ og integritet – Personvern i det digitale samfunnet samt i en akademisk avhandling från Universitetet i Oslo.
Den fokusering på frågor om informationssäkerhet och auten- tisering som hittills präglat utvecklingen av
Någon författningsreglering behövs inte i denna del, utöver den redan föreslagna bestämmelsen om att så få personuppgifter som möjligt ska samlas in, lämnas ut eller annars behandlas och att inte fler uppgifter än nödvändigt får samlas in och bevaras. Däremot bör det i t.ex.
Dessa tekniska begränsningar blir långtgående, särskilt om de ses tillsammans med de föreslagna begränsningarna enligt författ- ning. Ett sådant skydd är emellertid av central betydelse för att den framtida infrastrukturen ska vinna allmän tillit och inte riskera att missbrukas genom att elektroniska spår skapas, bevaras och sambearbetas för andra ändamål än dem för vilka den nya infra- strukturen tillskapats. Det blir en viktig uppgift att genomlysa dessa begränsningar och vad som krävs inom den nya infrastruk- turen så att den föreslagna regleringen inte hindrar behandlingar som krävs för att skydda infrastrukturen mot angrepp och att granska och åtgärda fel.
90
SOU 2010:104 |
Informationssäkerhet och persondataskydd |
7.2.6Anvisnings- och signaturtjänster
Enligt förslaget till definitioner menas med anvisningstjänst det tekniska och administrativa stöd som
Eftersom
Beträffande en signeringstjänst blir det av avgörande betydelse att ta tillvara de möjligheter som integritetsfrämjande teknik kan ge så att handlingar m.m. inte samlas och bevaras på ett ställe. I denna del har utvecklingsarbetet emellertid inte kommit tillräckligt långt för att en närmare analys av persondataskyddet ska bli verknings- full. Frågan får därför tas upp i det fortsatta arbetet.
7.2.7Lagen om elektronisk kommunikation
Enligt 1 kap. 4 § lagen (2003:389) om elektronisk kommunikation (LEK) gäller lagens bestämmelser elektroniska kommunikationsnät och elektroniska kommunikationstjänster med tillhörande installa- tioner1 och tjänster samt annan radioanvändning. Den föreslagna Infrastrukturen för Svensk
1 Med tillhörande installation menas enligt 1 kap. 7 § LEK anordning, funktion eller annat som inte utgör men har samband med en elektronisk kommunikationstjänst eller ett elektroniskt kommunikationsnät, och som möjliggör eller stöder den tjänsten eller tillhandahållandet av tjänster via det nätet.
91
Informationssäkerhet och persondataskydd |
SOU 2010:104 |
utfärdare eller
Enligt 1 kap. 7 § LEK menas med elektronisk kommunikations- tjänst en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elek- troniska kommunikationsnät. Den föreslagna Infrastrukturen för Svensk
92
8Verksamhetsplan för
Detta avsnitt börjar med att beskriva omvärlds- och marknads- utvecklingen för
8.1Omvärldsutveckling
Ett stort antal länder arbetar aktivt med lösningar för hantering av
1 Electronic identity in Finland: ID cards vs. bank IDs, Teemu Rissanen, 6 March 2010.
93
Verksamhetsplan för |
SOU 2010:104 |
autentisering för organisationer och företrädarskap för organisa- tioner vid inloggning till statliga
Belgien har under ett antal år försett sina medborgare med elektronisk
I Norge ger bankerna ut
SuisseID är en nyligen introducerad nationell
Inom EU projektet STORK (Secure idenTity acrOss boRders linKed) utvecklas och testas en lösning för att knyta samman identifieringsinfrastrukturer i medlemsstater för att möjliggöra gränsöverskridande
Inom ramen för
2
3
4STORK, Towards
94
SOU 2010:104 |
Verksamhetsplan för |
EU kommissionens IDABC program (Interoperable Delivery of European eGovernment Services to public Administrations, Businesses and Citizens) avslutades i december 2009 och efterföljs av det nya ISA programmet (Interoperability Solutions for European Public Administrations). ISA programmet skall ta vid och bygga på erfarenheterna som vunnits i
Tjänstedirektivets införande ställer krav på elektronisk utväxling av information med myndigheter, företag och medborgare i Europa. Inom ramen för den svenska kontaktpunkten bedrivs i dag utveckling och pilotprojekt med syfte att stödja svenska myndigheters befattning med elektroniskt underskrivna handlingar från utlandet. Detta område berörs även av EU projekt som SPOCS (Simple Procedures Online for
Marknaden och dess utveckling
Som tidigare nämnts har vi i Sverige en relativt lång och god erfarenhet av att nyttja
Med utgångspunkt från direktivets önskan om att kostnaden för nuvarande aktörer om möjligt ej ska öka har utredningen försökt identifiera storleken på dagens marknad för
5 Synpunkter på rapporten Verksamhetsplan för
95
Verksamhetsplan för |
SOU 2010:104 |
uppgifter från Kammarkollegiet vilka har analyserats och där icke relevanta kostnader dragits ifrån. Resultatet av denna preliminära skattning är att den offentliga marknaden för användandet av e- legitimation i Sverige uppgår till ca
Marknadsvolymen för
Det finns en stor variationsrikedom i såväl vilken utsträckning dessa aktörer har
89% av Sveriges 259 operativa myndigheter7.
Tittar man framåt kan en fortsatt tillväxt även på andra områden
som att kunna identifiera vem en aktör är det kan vara i en tjänst, kopplat till sociala medier, vem som gör uttalanden i olika frågor, etc. en utveckling som kan ske såväl inom offentlig som privat sektor.
Marknaden för
6
7Så enkelt som möjligt för så många som möjligt, SOU 2010:62, 2010.
96
SOU 2010:104 |
Verksamhetsplan för |
privat sektor etc. i en modell med en rad beroendeförhållanden, förenklat åskådliggjort i bilden nedan.
Figur 8.1 Faktorer och beroenden med påverkan på marknadens utveckling
Större prispress på utfärdandet
Fler
•
värdeskapande |
Fler/mer |
|
tjänster för att |
värdeskapande |
|
locka användare |
tjänster |
|
• |
Fler |
|
användare |
||
möjliggör |
||
|
||
vilka möjliggör |
|
|
effektiviseringar i |
Ökad |
|
verksamheten |
||
frekvens på |
||
|
||
|
användande |
Fler
Lägre
kostnader/ individ (infrastruktur)
•Fler användare skaffar och utnyttjar sina
•
Större
intäkter
En viktig startpunkt är att
Identitetsutfärdarna underlättar hanteringen och användandet genom att utveckla attraktiva erbjudanden med bra och användarvänliga lösningar samt främjar ett stort utfärdande av e- legitimationer för att skapa en hög penetration på marknaden bland användarna. Tillgång till attraktiva
För att denna kedja av förändringar ska komma att fungera effektivt är det viktigt att det tidigt skapas en kritisk massa av e-
97
Verksamhetsplan för |
SOU 2010:104 |
legitimationer och attraktiva
8.2En ny svensk affärsmodell
8.2.1Utgångspunkter
Direktivet beskriver att statliga myndigheters, landsting och kommuners användning av tjänster för identifiering och signering ska, liksom nu, finansieras av
Förslaget till verksamhet inom Svensk
Utformningen av affärsmodellen vilar på de utgångspunkter som fastslagits för Svensk
•Affärs- och prismodellen ska vara enkel, transparent och långsiktig. Den ska leda till mer förutsägbara och om möjligt lägre kostnader för offentlig sektor än dagens ramavtalsmodell
•Användarna i form av privata individer eller organisationer ska kunna välja leverantör av
98
SOU 2010:104 |
Verksamhetsplan för |
•Modellen ska primärt fokusera på offentlig sektor men vara utvecklings- och skalbar för att därigenom kunna skapa förut- sättningar för en bra hantering av
•Det ska vara enkelt för en statlig myndighet, landsting eller kommun att få tillgång till tjänster för elektronisk identifiering och signering. En statlig myndighet, landsting eller kommun ska genom en part få tillgång till alla tjänster som omfattas av modellen
•En statlig myndighet, landsting eller kommun ska i så liten utsträckning som möjligt själv behöva ha kompetens och funk- tioner för att kunna använda tjänster för elektronisk identifiering och signering i verksamheten
•Modellen bör, om det med hänsyn till övriga förutsättningar är möjligt, stödja teknikneutralitet samt bygga på lösningar som utvecklas av marknaden. Befintliga
•Modellen ska skapa förutsättningar för ökad valfrihet och mångfald vad gäller utfärdare av identitetsintyg och
I tillägg till punkterna ovan föreslår utredningen ett den framtida affärsmodellen bygger på att;
•Den preliminära uppskattningen av marknadens storlek har gjorts utifrån uppgifter från Kammarkollegiet, utifrån ramavtal eID 2008 och eID 2004, vilka har analyserats och där icke relevanta kostnader dragits ifrån. Denna uppskattade marknads- storlek utgör grunden för den ersättning som inledningsvis utgår till identitetsutfärdarna, utan avdrag för
•Tillväxt i marknaden skapas genom att nya
•Avgifter inom Svensk
99
Verksamhetsplan för |
SOU 2010:104 |
•In- och utbetalningar i Svensk
•Aktörer, identitetsutfärdare,
•Nya aktörer som ansluts till Svensk
•Identitetsutfärdare erhåller ersättning baserat på andel av totala antalet utfärdade identitetsintyg per unik användare och tidsenhet
•Den summa som tilldelas identitetsutfärdarna i ersättning upp- går till marknadens uppskattade storlek, samt 50 % av den årliga tillväxten beräknad utifrån föregående års totala ersättning, upp till att nämnden når full finansiering av kostnader relaterade till drift av Svensk
•Beroende på vilken lösning som väljs för signering kan den finansiella modellen kopplad till det se olika ut. Vid en central lösning så kan det komma att krävas ytterligare en betalström som finansierar den tjänsten
•Nämndens budget består av två typer av kostnader
-Operativa kostnader, relaterade till drift av Svensk e- legitimation och dess tjänster
-
•De operativa kostnaderna bör på sikt helt och hållet finansieras via avgifter. De indirekta kostnaderna täcks även fortsättnings- vis via statliga anslag
8.2.2Affärs- och betalmodell
Affärsmodellen bygger på de roller och aktörer vilka förväntas ingå i modellen för Svensk
100
SOU 2010:104 |
Verksamhetsplan för |
Nyttor och kostnader i den nya modellen
Införandet av Svensk
Användaren, den privatperson alternativt anställd, som har tillgång till en
Identitetsutfärdare kommer att behöva anpassa sin verksamhet till de regler som gäller inom modellen för att bli godkänd som leverantör. För dagens leverantörer kan detta komma att innebära exempelvis att sätta upp en identitetsutfärdartjänst, anpassning till SAML, ansökan om medlemskap i Svensk
101
Verksamhetsplan för |
SOU 2010:104 |
grad av förändring detta innebär kan variera mellan aktörerna. Förändringarna samt själva övergångsperioden då två parallella system behöver drivas kan komma att vara förknippade med vissa kostnader och kanske även risker aktörerna behöver bära. Mål- sättningen är att den nya modellen kommer att skapa en väl fungerande marknad som kommer att växa genom att nya myndig- heter, landsting och kommuner utvecklar
Attributsutfärdarna innehar en viktig roll i modellen då de kompletterar den grundläggande rollen för identifiering med att vid behov även tillhandahålla annan viktig information. Svensk e- legitimations infrastruktur kan innebära ett förenklat förfarande även för dessa utfärdare.
Betalströmmar
Betalströmmarna i Svensk
102
SOU 2010:104 |
Verksamhetsplan för |
Figur 8.2 Betalströmmar i Svensk
Register
Ersättning för utfärdande av identitetsintyg
|
|
Årsavgift |
Identitetsutfärdare |
||
Utfärdande av e- |
Identitets- |
(Myndighet, landsting eller kommun) |
legitimationer |
intygstjänst |
|
Eventuell avgift för utfärdande av
Årsavgift
Attributsintygsutfärdare
Attribut Attribut
Eventuell avgift enligt bilateral överenskommelse
Bilden visar på två olika typer av betalströmmar, markerade med heldragna respektive streckade linjer. De heldragna linjerna visar på betalströmmar vilka går via och vars prisnivå styrs av
Den andra typen av betalströmmar, i bilden markerade med streckade linjer, visar på potentiella betalströmmar som ligger utom
103
Verksamhetsplan för |
SOU 2010:104 |
Modellen möjliggör för
Avgiften syftar till att täcka såväl tillsyn, relevanta administra- tiva kostnader hos nämnden samt ersättning till identitets- utfärdarna.
Utifrån den uppskattade storleken på dagens marknad för användande av
•Landsting och kommuner betalar 0,50 kronor per invånare och har en minimiavgift på 10 000 kronor per år
•Myndigheter betalar ca 350 kronor per anställd och har en minimiavgift på 10 000 kronor per år
Kostnaden för landsting och kommun uppgår till 50 öre per invånare. Nivån är satt för att stimulera utvecklingen och användandet av
Tabell 8.1 Föreslagna årsavgifter för de största aktörerna
Myndigheter |
Antal anställda |
Avgift 1 |
|
Försäkringskassan |
12 500 |
4 200 000 |
|
Skatteverket |
10 800 |
3 636 000 |
|
Arbetsförmedlingen |
9 875 |
3 320 000 |
|
Länsstyrelserna |
6 500 |
2 180 000 |
|
Lantmäteriet |
2 397 |
800 000 |
|
|
|
|
|
Landstinget |
Antal invånare |
Avgift1 |
|
Stockholm |
1 974 827 |
980 000 |
|
V:a Götaland |
1 570 000 |
780 000 |
|
104 |
|
|
|
SOU 2010:104 Verksamhetsplan för
Region Skåne |
1 231 062 |
610 000 |
Östergötland |
415 990 |
200 000 |
Jönköping |
329 884 |
160 000 |
|
|
|
Kommun |
Antal invånare |
Avgift1 |
Stockholm Stad |
832 641 |
590 000 |
Linköping |
144 934 |
100 000 |
Örebro |
134 466 |
90 000 |
Helsingborg |
128 569 |
90 000 |
Umeå |
114 300 |
80 000 |
|
|
|
1 Alla avgifter har avrundats nedåt till närmaste 10
Den största fördelen med denna modell är att den i linje med utgångspunkter för den nya modellen är enkel och förutsägbar. Beräkningen av kostnaderna utifrån antal anställda respektive antal invånare utgör en modell som används inom andra områden i offentlig sektor. Tillväxten i marknaden beräknas som att varje nytillkommen
En nackdel med modellen kan vara att den riskerar att bli något statisk där eventuella stordriftsfördelar och produktivitetsför- bättringar på
Med den fördelning av avgifterna som presenterats kommer marknaden det första fulla verksamhetsåret, med antagande om att alla nu anslutna
105
Verksamhetsplan för |
SOU 2010:104 |
5 MSEK går till nämnden för att bidra till att täcka de operativa kostnaderna och .
Identitetsutfärdarna betalar en årlig avgift som ersättning för att delta i modellen för Svensk
Årsavgiften för identitetsutfärdarna beslutas av
•Administration: hantering av metadata och årligt register- underhåll. Uppskattad initial avgift 10 000 SEK
•Tillsyn: Uppskattad initial avgift 10 000 SEK
Privata identitetsutfärdare föreslås erhålla en ersättning som uppgår till den marknadsandel av totalt antal utfärdade identitetsintyg per unik användare under en definierad tidsperiod som respektive aktör utgivit relaterat till
Baserat på utfallet ett visst år bestämmer nämnden den grund- läggande ersättningen för efterföljande år.
106
SOU 2010:104 |
Verksamhetsplan för |
Då respektive aktörs ersättning bygger på uppnådd marknads- andel av antal utfärdade identitetsintyg per unik användare och tidsenhet ligger det i identitetsutfärdarens intresse att vinna marknadsandelar genom att skapa spridning på och hög användning av sina
Identitetsutfärdaren har rätt att ta betalt för utfärdandet av e- legitimationer till privatpersoner. Det är ett civilrättsligt mellan- havande mellan utfärdaren och privatpersonen och ligger därmed inte inom ramen för
Skatteverket utfärdar idag
Identitetsutfärdare som utfärdar
Vid utfärdandet av tjänstelegitimationer till organisationer kan olika upplägg bli aktuella beroende på behov. I de fall organisa- tionen endast är intresserad av den mest grundläggande formen för tjänstelegitimationer bör stora likheter finnas med utfärdandet av sådana för privatpersoner. Vid utfärdandet av tjänstelegitimationer tillkommer dock ofta en rad andra tjänster som exempelvis kopplingar till organisation, roll, rutiner för reservförfaranden för att hantera förluster av
Attributsutfärdarna kan delta i modellen och på så sätt underlätta användandet av deras
107
Verksamhetsplan för |
SOU 2010:104 |
registret bör innebära att affärsmöjligheterna för attributs- utfärdarna ökar. Attributsutfärdarnas möjlighet att ta betalt för attributsintyg regleras inte av Svensk
Årsavgiften ska täcka administrativa kostnader vid hantering av metadata samt årligt registerunderhåll och uppskattas till 5 000 SEK. Avgiftens nivå motiveras med att det är viktigt för modellens framgång att relevanta attributsutfärdare ansluts.
Alla prisnivåer angivna ovan är förslag för tillitsnivå 3 enligt tillitsramverket. Om och i så fall när fler tillitsnivåer introduceras i modellen kan ytterligare prisnivåer komma att införas relaterade till dessa. I det fallet finns möjlighet att påverka de sammanlagda kostnaderna genom att nyttja lägsta möjliga tillitsnivå efter tjänstens behov.
Ytterligare utredning är nödvändig innan beslut kan tas kring hur signaturtjänsten ska hanteras och därmed eventuella konsekvenser för hur tjänsten ska hanteras i affärsmodellen. Väljs exempelvis en central modell och tjänsten ses som en extratjänst som
Avgifter beskrivna i detta avsnitt beslutas av
8.3Verksamhetsmål
8.3.1
Målsättningen med bildandet av
108
SOU 2010:104 |
Verksamhetsplan för |
med
8.3.2
•att styra, utveckla och svara för den verksamhet som faller inom ramen för Svensk
•att säkerställa att nödvändiga tjänster och funktioner (t.ex. identitetsintygsgivare, anvisningstjänster samt register över godkända identitetsintygsgivare och
•att tillse att de aktörer som ansluts följer regelverket för Svensk
Även i fortsättningen bör förvaltningen använda sig av tjänster och metoder som utvecklas och tillhandahålls av aktörer på marknaden. Det är viktigt att nämndens organisation och verksamhet utformas på ett sådant sätt att goda förutsättningar ges för konkurrens och för utvecklingen av ytterligare tjänster.
Nämnden bör därför tillhandahålla tjänster till myndigheter, landsting och kommuner endast om det är nödvändigt för att säkerställa förvaltningens tillgång till elektronisk identifiering och signering under de förutsättningar och med de mål som angivits. Utförandet av sådana tjänster bör i normalfallet upphandlas på marknaden.
Nämnden ska samverka med berörda myndigheter, landsting och kommuner samt näringsliv, leverantörer och andra intressenter. Särskilt viktigt är att kommuner och landsting i sådan samverkan får möjlighet att utvecklas i samma riktning som de statliga myndigheterna.
109
Verksamhetsplan för |
SOU 2010:104 |
8.4Verksamhetsområden
8.4.1Användare och medlemmar
Användare
Målsättningen är att främja en ökad penetration av
Målsättningen med verksamheten är att etablera en modell för Svensk
Identitetsutfärdare
Målsättningen med den nya modellen är att skapa valfrihet för användaren och mångfald vad gäller identitetsutfärdare. Nämnden ska verka för inrättandet av ett valfrihetssystem där användare kan välja
Attributsutfärdare
Attributsutfärdarna är en viktig aktör i Svensk
110
SOU 2010:104 Verksamhetsplan för
intresse och kan tillföra modellen viktig information, som exempelvis Bolagsverket och Socialstyrelsen.
Dagens leverantörer av
8.4.2Tjänster
Inom Svensk
•Registertjänster
•
•Anvisningstjänst
•Attributsintygstjänst
•Signeringstjänst
Registertjänster
En central del i modellen för Svensk
111
Verksamhetsplan för |
SOU 2010:104 |
De register som
Den tekniska driften av Svensk
Utfärdare av
Användningen av
Anvisningstjänst
Anvisningstjänsten anvisar användaren utifrån utfärdarregistret till sin identitetsutfärdare för att på ett enhetligt sätt förenkla användningen för den enskilda användaren. Anvisningstjänsten kan vara såväl central som lokal.
Utveckling av en anvisningstjänst handlas upp externt. Drift av anvisningstjänst bör kunna ingå som en del i den upphandling som görs kopplat till drift och underhåll av nämndens register.
Attributsintygstjänster
Attributstjänster kompletterar uppgifter om såväl fysiska som juridiska personer utöver den information som lämnas i identitets- intyg. Attributstjänster som anses vara av allmänt intresse ansluts till infrastrukturen för Svensk
112
SOU 2010:104 Verksamhetsplan för
tillit och överenskommelse mellan
De mest centrala attributsintygsutgivarna, primärt medlem- marna i Svensk
Signeringstjänst
En signeringstjänst kommer att ingå som en del i
8.4.3Internationell samverkan och eventuellt kompletterande områden
•Den svenska implementeringen av
•En standard för ett tillitsramverk som avses ligga till grunden för ett svenskt tillitsramverk för svensk
•
113
Verksamhetsplan för |
SOU 2010:104 |
•Den tjänst som utvecklas av Tillväxtverket inom ramen för den svenska kontaktpunkten för att stödja svenska myndigheters befattning med signerade handlingar från utlandet behöver förvaltas efter utveckling och pilotdrift. I framtiden kan det övervägas om nämnden ska få ansvaret att förvalta denna tjänst
•Standarder och normer för
Även andra områden kan i den fortsatta utvecklingen komma att övervägas huruvida de bör ingå som en del i nämndens verksamhetsområde, exempelvis;
•Standardisering och regelverk för stämpelcertifikat
•Standardisering och regler för servercertifikat
8.4.4Upphandling
När det gäller inrättande av valfrihetssystemet är denna upp- handlingsform tämligen ny och det finns därför inte så stor samlad erfarenhet på området. Detta förhållande måste beaktas vid planeringen av den tid och de resurser som kan beräknas erfordras för arbetet. Inför ett inrättande är det väsentligt att
Valfrihetssystemet måste innefatta de tekniska och andra krav som ska ställas på Identitetsutfärdarna för anslutning. Dessa krav ska vara förutsägbara och rimliga och de måste inom ramen för den
114
SOU 2010:104 |
Verksamhetsplan för |
föreslagna lösningen i största möjliga utsträckning beakta de förhållanden som gäller för marknaden i dag så att det blir ett naturlig utvecklingssteg från dagens lösningar till den lösning som föreslås av utredningen. Särskild uppmärksamhet bör ägnas åt de frågeställningar som kan uppkomma vid en övergång från dagens struktur till den nya strukturen.
En fortsatt utveckling kan förväntas ske på det tekniska området och det är viktigt att de villkor som gäller för identitets- utfärdarna utformas så att de möjliggör förändringar av villkoren föranledd av teknisk och annan utveckling. För att uppnå förutsebarhet och god planering måste samråd ske med identitets- utfärdarna även på detta område.
Den ersättningsmodell som föreslagits tar sin utgångspunkt i dagens förhållande. Området kan dock förväntas få en stark tillväxt med nya
8.5Nämndens organisation
8.5.1Nämndens uppbyggnad
Elektronisk identifiering och signering är centrala funktioner för e- förvaltningen för samhället. Det är viktigt att myndigheten har ett högt förtroende och en hög legitimitet i hela den offentliga förvaltningen, näringslivet samt hos de enskilda användarna. Det är vidare angeläget att verksamheten bedrivs med en stor grad av självständighet gentemot de myndigheter som använder nämndens tjänster eller vars verksamhet i övrigt påverkas av dess beslut. Verksamheten ska organiseras som en nämndmyndighet som placeras hos Skatteverket.
115
Verksamhetsplan för |
SOU 2010:104 |
Enligt författningsförslaget ska
8.5.2Nämndens ansvarsområden
|
|
Figur 8.3 |
|
Nämndens ansvarsområden |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
Ledning och utveckling av |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Problemhantering och |
|
Ledamöter av E- |
Ledning och styrning |
Upphandling |
|||||||
|
legitimationsnämnden |
incidenter |
||||||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
Marknad & kommunikation |
|
|
|
|
|
Medlemshantering |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Kommunikation inom |
Omvärldsbevakning |
|
|
Inträde |
Omprövning |
||||
|
Svensk |
|
|
|||||||
|
|
|
|
|
|
|
|
|
||
|
Kommunikation med |
Internationella relationer |
Förändrat medlemskap |
Beräkning av avgifter |
||||||
|
potentiella deltagare |
|||||||||
|
|
|
|
|
|
|
|
|
||
Marknadskommunikation |
|
|
|
|
|
Utträde |
|
|||
|
och media |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Drift |
|
|
|
|
|
|
Administration |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Drift och underhåll av |
|
|
Tester |
Hantering av betalflöden |
Statistik |
||||
|
register |
|
|
|||||||
|
|
|
|
|
|
|
|
|
||
|
Tjänstekatalog |
|
|
|
|
|
Administration |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Tillit, kvalitet och säkerhet |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Ramverk |
|
|
Tillsyn |
Klagomål |
Hantering av tvister |
8 Promemoria,
116
SOU 2010:104 |
Verksamhetsplan för |
Ansvarsområdena indikerar den typ av kompetens som krävs för att utöva nämndens roll och därmed vilken typ av kompetens som behöver rekryteras. Beskrivningen av roller ska dock ej direkt översättas i bemanningens storlek.
Ledning och utveckling av
Ledamöter av
Ledning och styrning
Enligt förslaget får myndigheten i arbetsordning eller särskilda beslut överlämna till ordföranden eller kansliansvarig att avgöra ärenden som är av administrativ art och andra ärenden som är av sådan art att de inte behöver prövas i nämnden och eventuellt skyndsamma ärenden. Genom detta förslag skapas möjlighet till en högre grad av flexibilitet vid avgörande av ärenden som är av administrativ eller enklare art.
Upphandling
117
Verksamhetsplan för |
SOU 2010:104 |
Problemhantering och incidenter
Problem som rapporteras in till
Incidenter kan rapporteras in av identitetsutfärdare,
Medlemshantering
Inträde
Nya parter kan vara intresserade av att ansluta sig till Svensk e- legitimation. De aktörer som önskar bli medlemmar visar sitt intresse genom att skicka en ansökan till
•En identitetsutfärdare som önskar delta genomför nödvändiga aktiviteter för att bevisa att reglerna uppnås. Erforderliga kontroller genomförs av extern part, t.ex. en revisionsfirma.
•Intyg och dokumentation lämnas in till nämnden som kontrollerar dess riktighet
•Om reglerna är uppfyllda utgår en avgift som ska täcka administration och tillsyn för kommande verksamhetsår
118
SOU 2010:104 |
Verksamhetsplan för |
•När kraven uppfyllts och avgiften betalats blir identitets- utfärdaren godkänd som medlem och registren uppdateras med relaterad metadata
•Identitetsutfärdare kan därefter använda begreppet Svensk e- legitimation
Förändrat medlemskap
Aktörer som är deltagare i Svensk
Utträde
En aktör som är medlem i Svensk
Ompröva medlemskap
Situationer kan uppkomma då
Beräkning av avgifter
119
Verksamhetsplan för |
SOU 2010:104 |
avgifter och ersättningsnivåer inom Svensk
Ett system för uppföljning av antal utfärdade identitetsintyg etableras exempelvis genom att respektive identitetsutfärdare regel- bundet rapporterar aktuellt utfall. I modellen för hur ersättningen beräknas bör mekanismer för att förhindra möjligt missbruk etableras. Hur modellen konkret ska utformas och upprättas bör utredas vidare efter att nämnden etablerats.
Marknad och kommunikation
Kommunikation inom Svensk
Tillit är ett huvudtema inom Svensk
Kommunikation med potentiella deltagare
Marknadskommunikation och media
120
SOU 2010:104 |
Verksamhetsplan för |
Omvärldsbevakning
Myndigheten ska på ett övergripande plan följa utvecklingen inom området. Myndigheten ska följa utvecklingen såväl i Sverige som internationellt när det gäller tekniska och administrativa lösningar för elektronisk identifiering och signering.
Internationella relationer
Myndigheten ska vara Sveriges kontaktpunkt gentemot organ med motsvarande ansvar i andra länder. Myndigheten föreslås ansvara för att utveckla samarbetet och informationsutbytet med dessa organ samt delta i internationellt standardiseringsarbete.
Drift
Drift och underhåll av register
Tjänstekatalog
Testning
Autentiseringsmekanismer och protokoll som används inom Svensk
121
Verksamhetsplan för |
SOU 2010:104 |
Administration
Inom nämndens ansvarsområde ingår även viss stödverksamhet.
Hantering av betalflöden
Nämnden hanterar administrativt definierade betalflöden i modellen, i form av anslutningsavgifter som tas in från
Administration
Inom administration ingår nödvändig stödverksamhet för myndigheten så som ekonomi, lön, HR och IT. För att hantera dessa områden används stöd från värdmyndigheten Skatteverket.
Statistik
Detta arbetsområde innebär att information från aktörerna inom Svensk
Tillit, kvalitet och säkerhet
För nämndens arbete kommer det bland annat att vara viktigt att känslig information hanteras gäller strikt konfidentialitet och tystnadsplikt för
En beredskapsfunktion inordnas för att möta kraven i förordning (2006:942) om krisberedskap och höjd beredskap. Inom denna roll ingår vidare ett ansvar för nämnden totala
122
SOU 2010:104 |
Verksamhetsplan för |
informationssäkerhetsperspektiv vilket bl.a. omfattar fungerande processer för risk- och sårbarhetsanalyser, kontinuitetsplanering och krisberedskap, granskning och uppföljning (tillsyn). Dessa processer bör täcka hela infrastrukturen för svensk
Ramverk
Tillsyn
Regelbunden tillsyn sker av alla aktörer inom modellen för Svensk
Verktyget för styrning av informationssäkerheten utanför myndigheten är tillitsramverket, via de civilrättsliga avtalen med utgivarna av svensk
Andra kontroller (för behörighetsstyrning, säkerhet i system- utveckling, informationsklassificering, fysisk säkerhet m.m.) avgränsas till att endast innefatta myndighetens interna arbete.
Klagomål
Klagomål som inkommer från någon av medlemsorganisationer sammanställs och analyseras regelbundet. Vid återkommande klagomål genomförs detaljerade analyser för att komma tillrätta med problemet.
Hantering av tvister
Nämnden ansvarar för att tillhandahålla stöd för att lösa frågor när aktörerna inte är eniga och att testa överensstämmelse med tekniska normer och förmågan att samverka (s.k. interoperabilitet).
123
Verksamhetsplan för |
SOU 2010:104 |
8.6Genomförandeplan
8.6.1Uppbyggande av verksamheten
Framgång i att etablera en ny lösning för
•Uppbyggnad av
•Lansering av Svensk
•Vidareutveckling och expansion Svensk
De tre faserna beskrivs på kommande sidor och avslutas med att väsentliga aktiviteter sammanfattas i en tabell.
Uppbyggnad av
Under den första fasen, uppbyggnad av
En annan viktig del i arbetet kommer vara att driva ett antal
Nämnden föreslås vidare etablera och driva ett antal forum för samråd med de viktigaste intressenterna i Svensk
124
SOU 2010:104 |
Verksamhetsplan för |
och hanteras. Samrådsaktiviteterna bör vidare bidra till att konkretisera viktiga steg i en genomförande- och övergångsplan till den nya modellen.
Genom dessa samråd skapas förutsättningar för att belysa viktiga frågor ur flera perspektiv, skapa involvering samt förutsättningar för att driva genomförandet med så lite påverkan som möjligt på användare,
Samrådsaktiviteterna bör initieras tidigt och sannolikt omfatta såväl offentliga
Ett annat viktigt område under denna fas kommer att vara att driva arbetet med att få tillstånd de juridiska förutsättningar som krävs för den nya modellen. Vilket bl a kommer att omfatta att vidareutveckla, förankra och förbereda för lagförändringar, fram- tagande av underlag för avtal, förbereda och genomföra ramavtals- upphandlingar, etc.
Lansering av Svensk
Under 2012, senast vid halvårsskiftet, förväntas förutsättningarna vara på plats för att en lansering av Svensk
Lanseringen och övergången till Svensk
125
Verksamhetsplan för |
SOU 2010:104 |
modellen och därmed en över tiden ökande volym som hanteras i Svensk
Målsättningen är att övergången till Svensk
En viktig faktor är att identitetsutfärdarna ansluts så snart som möjligt i samband med modellens lansering. De är centrala för modellens funktion och utan deras medverkan är det inte möjligt att uppnå avsedd nytta.
Från och med lanseringsfasen bör statistik och erfarenheter kring användande, intäkter och kostnader att samlas in och analyseras.
De forum för samråd som bildats under uppbyggnadsfasen kan under denna period helt eller delvis omvandlas till att främst omfatta anslutna aktörer. Utredningens förslag är att separata forum bildas för offentliga och privata
Dessa forum fokuserar på att diskutera gemensamma frågor, modellens vidareutveckling, problem samt aktuella frågor. Det övergripande syftet är att säkra att marknadens aktörer kan göra sin röst hörd och att viktiga frågor lyfts och hanteras.
Därtill föreslås att
126
SOU 2010:104 |
Verksamhetsplan för |
en viktig kanal för dialog och samverkan. Formerna för ovan nämnda samverkansaktiviteter bör vidareutvecklas och förankras så snart som möjligt efter nämndens bildande.
Vidareutveckling och expansion av Svensk
När Svensk
Utifrån erfarenheter, statistik och annan information som samlats in kan även visa på behov av att vidareutveckla affärs- modell, teknik eller juridik. Justeringarna kan innebära både förändringar i modellen som sådan och förändrade kostnads- och ersättningsnivåer, bland annat baseras på ny information om marknadsvolym, fördelning mellan typer av aktörer, frekvens på användning, tillväxt, utveckling av nya tjänster som signering, koppling till nya affärssegment som exempelvis det privata närings- livet, modifieringar i tillitsramverk, eller liknande.
I det fortsatta arbetet bör
Genomförandearbetet för att bygga upp, etablera samt vidare- utveckla och expandera Svensk
Tabell 8.2 Genomförandeplan år 2010
Delmål |
Aktiviteter |
År/kvartal |
Ledning och utveckling |
|
|
Nämnden skapad |
Kansliansvarig utses |
Kv4 |
|
Nämndens ledamöter utses |
Kv4 |
|
Praktiska former för nämndens arbete |
|
|
(samarbete med Skatteverket, lokaler, stöd, etc.) |
|
127
Verksamhetsplan för
Tabell 8.3 Genomförandeplan år 2011
Delmål |
Aktiviteter |
År/kvartal |
Ledning och utveckling |
|
|
Nämnden skapad |
Praktiska former för nämndens arbete |
|
|
(samarbete med Skatteverket, lokaler, |
|
|
stöd, etc.) |
|
|
Nödvändiga arbetsformer inom nämnden |
Kv1 |
|
skapas inklusive konkreta lednings- |
|
|
processer för arbetets genomförande |
|
|
Centrala, kortsiktigt nödvändiga |
Kv1 |
|
kompetenser rekryteras |
|
|
|
|
|
En projektorganisation etableras för att |
Kv1 |
|
bygga upp verksamheten |
|
|
Konkretiserad tidplan för arbetets |
Kv1 |
|
genomförande |
|
|
|
|
Upphandlade |
Framtagande av underlag inklusive |
|
identitetsutfärdare |
juridiska, ekonomiska och tekniska |
|
|
specifikationer |
|
|
Genomförande av upphandling |
|
|
|
|
Upphandlad teknisk |
Framtagande av underlag för |
Kv1 |
drift och underhåll |
upphandling |
|
|
Upphandling |
|
Anpassad och vidare |
Insamling av statistik och erfarenheter i |
|
utvecklad affärsmodell |
syfte att tydliggöra modellen |
|
|
|
|
Marknad och kommunikation |
|
|
Verksamhetsformer och |
Tydliga processer utvecklas för |
Kv3 |
processer |
verksamhetens genomförande |
|
|
|
|
Samverkan etablerad |
Samverka med ledande |
|
|
leverantörer kring vidareutveckling och |
fortgå- |
|
förankring av modellen |
ende hela |
|
|
perioden |
|
Samverka med leverantörer av |
|
|
mationer och andra viktiga aktörer på |
fortgå- |
|
marknaden |
ende hela |
|
|
perioden |
|
|
|
128
SOU 2010:104 Verksamhetsplan för
Delmål |
Aktiviteter |
År/kvartal |
|
Verka för samverkan med näringslivet för |
|
|
att etablera en motsvarande lösning för |
fortgå- |
|
Svensk |
ende hela |
|
|
perioden |
|
|
|
Internationellt arbete |
Deltagande i standardiseringsarbete och |
|
|
annat relevant arbete |
fortgå- |
|
|
ende hela |
|
|
perioden |
|
|
|
Medlemshantering |
|
|
Verksamhetsformer och |
Tydliga processer utvecklas för |
Kv3 |
processer |
verksamhetens genomförande |
|
|
|
|
Övergångsplan |
Detaljerad plan för överflyttning e- |
Kv2 |
|
tjänsteleverantörer inkl. regelverk, |
|
|
ekonomiska konsekvenser samt praktisk |
|
|
hantering |
|
Marknadsplan |
Marknadsplan för att bearbeta och |
Kv3 |
|
ansluta av nya medlemmar |
|
Drift |
|
|
|
|
|
Plan för verksamheten |
Detaljerad plan för utveckling, |
Kv1 |
|
försörjning och driftssättning av |
|
|
verksamheten |
|
|
|
|
Verksamhetsformer och |
Utarbeta tydliga processer för |
Kv3 |
processer |
verksamhetsområdet |
|
|
|
|
Teknisk infrastruktur |
Detaljering av tekniska specifikationer |
Kv1 |
skapad |
och gränssnitt |
|
|
Register: detaljering av förutsättningar, |
Kv2 |
|
förankring, teknisk utveckling |
|
|
|
|
|
Anvisningstjänst: Kravspecifikation och |
Kv3 |
|
utveckling |
|
|
Signeringstjänst |
Kv2 |
|
– Analys och utvärdering av |
|
|
förutsättningar och behov |
|
|
|
|
129
Verksamhetsplan för
Delmål |
Aktiviteter |
År/kvartal |
Tillit, kvalitet och säkerhet |
|
|
|
|
|
Verksamhetsformer och |
Tydliga processer utvecklas inom för |
Kv3 |
processer omfattande |
verksamhetens genomförande; |
|
hela infrastrukturen för |
– Tillitsarbetet |
|
Svensk |
– Tillsyn i form av granskning och |
|
|
uppföljning |
|
|
– Ledningssystem för |
|
|
informationssäkerhet |
|
|
– Risk och säkerhetsanalyser |
|
|
– Kontinuitetsplanering och |
|
|
krisberedskap |
|
Behörighetskontroller i |
Utformning av |
Kv2 |
– Behörighet |
|
|
nämndens arbete |
– Säkerhet i systemutveckling |
|
|
– Informationsklassificering |
|
|
– Fysisk kontroll |
|
|
|
|
Uppdaterat regelverk för |
Stödja processen för genomförande av |
Kv4 |
Svensk |
föreslagen lagförändring – framtagande |
|
|
underlag och förankring |
|
|
Komplettering av ramverk |
|
|
|
|
Kvalitetssäkrad modell |
Genomlysning av modellen för Svensk e- |
Kv2 |
för |
legitimation utifrån Riksarkivets |
|
|
perspektiv |
|
|
Riskanalys av modellen för Svensk e- |
Kv2 |
|
legitimation via MSB |
|
|
Genomförande av eventuell åtgärdsplan |
Kv3 |
|
från RA och MSB |
|
|
|
|
130
SOU 2010:104 Verksamhetsplan för
Tabell 8.4 Genomförandeplan år 2012
Delmål |
Aktiviteter |
År/kvartal |
Marknad och kommunikation |
|
|
|
|
|
Samverkan etablerad |
Samverka med ledande |
|
|
leverantörer kring vidareutveckling och |
|
|
förankring av modellen |
|
|
Samverka med leverantörer av |
|
|
tioner och andra viktiga aktörer på |
|
|
marknaden |
|
Internationellt arbete |
Deltagande i standardiseringsarbete och |
|
|
annat relevant arbete |
|
|
|
|
Medlemshantering |
|
|
|
|
|
Övergång |
Anslutning av nuvarande e- |
|
|
tjänsteleverantörer när kontroll och |
|
|
ansökningsprocessen är klar |
|
|
|
|
Marknadsplan |
Kommunikation och bearbetning av e- |
|
|
tjänsteleverantörer att ansöka om |
|
|
medlemskap |
|
|
|
|
Drift
Teknisk infrastruktur skapad
Register: driftssättning, drift och underhåll |
Kv1 |
|
Eventuell pilot och test av infrastruktur |
||
Signeringstjänst |
Kv1 |
|
– Utveckling av vald lösning |
||
|
||
– Eventuell upphandling |
Kv2 |
|
|
131
Verksamhetsplan för
Tabell 8.5 Genomförandeplan år 2013
|
Delmål |
Aktiviteter |
År/Kvartal |
|
|
|
|
|
Ledning och utveckling |
|
|
|
|
|
|
|
Anpassad och vidare- |
Dra lärdomar från den första tiden och |
|
|
utvecklad affärsmodell |
vidareutveckla affärs- och prismodell |
|
|
Marknad och kommunikation |
|
|
|
Samverkan etablerad |
Samverka med ledande |
|
|
|
leverantörer kring vidareutveckling och |
|
|
|
förankring av modellen |
|
|
|
Samverka med leverantörer av |
|
|
|
mationer och andra viktiga aktörer på |
|
|
|
marknaden |
|
|
Internationellt arbete |
Deltagande i standardiseringsarbete och |
|
|
|
annat relevant arbete |
|
|
|
|
|
|
|
Deltagande i relevanta |
|
|
|
exempelvis STORK |
|
|
Medlemshantering |
|
|
|
Marknadsplan |
Kommunikation och bearbetning av e- |
|
|
|
tjänsteleverantörer att ansöka om |
|
|
|
medlemskap |
|
|
Drift |
|
|
|
Uppdaterade tekniska |
Uppdatering av tekniska specifikationer |
|
|
specifikationer |
och standardprofiler efter behov och |
|
|
|
lärdomar från första fasen |
|
8.6.2Organisation av genomförande och bemanning
Den uppskattade bemanningen i nämnden, formellt anställda via Skatteverket, föreslås uppgå till fyra årsanställda. Dessa personer
132
SOU 2010:104 Verksamhetsplan för
föreslås på övergripande nivå ha följande roller och ansvars- områden:
Kansliansvarig
-Ledning och utveckling av
-Tillit, kvalitet och säkerhet, 0.4 ÅAK
Jurist
-Hantering av medlemmar, 0.5 ÅAK
-Tillit, kvalitet och säkerhet, 0.5 ÅAK
Marknad och kommunikation
-Hantering av medlemmar, 0.75 ÅAK
-Marknad och kommunikation, 0.25 ÅAK
Drifts- och säkerhetsansvarig
- Drift (utveckling, upphandling, teknisk support), 1 ÅAK
8.7Ekonomi
8.7.1Förutsättningar för att finansiera verksamheten
I direktivet beskrivs att nämndens verksamhet på sikt i så stor utsträckning som möjligt ska täckas av avgiftsintäkter. Då osäker- hetsfaktorerna i modellen för Svensk
Då infrastrukturen för Svensk
Alla ekonomiska beräkningar i rapporten baseras på belopp exklusive mervärdesskatt.
133
Verksamhetsplan för |
SOU 2010:104 |
8.7.2Budget
En utgångspunkt och ambition har varit att nämndens verksamhet ska hållas så smal och kostnadseffektiv som möjligt. Initialt beräknas
Under perioden
Uppskattat behov av årsarbetskrafter per år framgår av tabellen nedan. Notera att nämnden och Svensk
Tabell 8.6 Nämndens behov av årsarbetskrafter år
Ansvarsområden |
2011 |
2012 |
2013 |
Ledning och utveckling av |
0.6 |
0.6 |
0.6 |
Hantering av medlemmar (operativ) |
1.25 |
1.25 |
1.25 |
Marknad och kommunikation (övrig) |
0.25 |
0.5 |
1 |
Drift (utveckling, upphandling, teknisk support) (övrig) |
1 |
2 |
3 |
Tillit, kvalitet och säkerhet (50 % övrig, 50 % operativ) |
0.9 |
0.9 |
0.9 |
|
|
|
|
Totalt antal ÅAK |
4 |
5.25 |
6.75 |
Total kostnad (900 000/år) SEK |
3 600 000 |
4 725 000 |
6 075 000 |
Kostnaden per årsarbetskraft är beräknad till 900 000 SEK per år vilket inkluderar lön, sociala avgifter, arbetsplats samt nödvändiga tekniska hjälpmedel. Beloppet inkluderar även administrativa avgifter uppskattade av Skatteverket till knappt
100 000 SEK per ÅAK och år.
För att kunna avgöra hur finansieringen ska ske av kostnaderna som uppkommer i Svensk
134
SOU 2010:104 |
Verksamhetsplan för |
•Investeringar (utvecklingskostnader)
•Operativa kostnader (drift av Svensk
•
Investeringar
De största kostnaderna under de första åren är relaterade till initiala investeringar för att etablera infrastrukturen för Svensk
Tabellen nedan ger en uppskattning av det utvecklingsarbete som behöver genomföras under de första två åren. Uppgifterna är skattade och ej baserade på konkreta offerter.
135
Verksamhetsplan för |
SOU 2010:104 |
Tabell 8.7 |
Uppskattade investeringskostnader år |
|
||
|
|
|
|
|
Utvecklingsområde |
Aktiviteter |
2011 |
2012 |
|
Register |
Utvecklingsarbete inklusive aggregeringsverktyg |
1000000 |
|
|
(1000 timmar) |
|
|||
|
|
|
||
|
|
|
|
|
|
Kravspecifikation och utvecklingsprojekt. Efter en |
|
|
|
Anvisningstjänst |
första fas kan arbetet koordineras med arbetet |
500000 |
|
|
|
kring registren |
|
|
|
|
Framtagande av kravspecifikation samt förankring |
|
|
|
|
och inhämtning av synpunkter från myndigheter |
|
|
|
|
kring behov, lösning, väg framåt samt utformning |
|
|
|
|
av tjänsten. Uppskattningen bygger på signering |
1000000 |
|
|
|
enligt alternativ 2 (hypotes, under utredning). |
|
|
|
|
Minimikostnad 0.75 MSEK |
|
|
|
|
|
|
|
|
|
Framtagande av upphandlingsunderlag i form av |
|
|
|
|
tekniska och juridiska specifikationer samt utkast |
|
|
|
|
till offertförfrågan (RFI). Kostnad exklusive |
1000000 |
|
|
Signeringstjänst |
upphandlingsarbete. Genomförs om möjligt i |
|
||
|
|
|||
|
samarbete med Kammarkollegiet. Minimikostnad |
|
|
|
|
0.75 MSEK |
|
|
|
|
|
|
|
|
|
Utveckling av lösning inklusive test, integration |
|
|
|
|
samt dokument och signatur format, etc. Skapa |
|
|
|
|
förutsättningar för säker driftsmiljö, rutiner och |
|
|
|
|
policy dokument. I dagsläget finns flera viktiga |
2000000 |
2000000 |
|
|
risker vilka måste utredas under första fasen av |
|||
|
|
|
||
|
arbetet då bl a ett vägval och fördjupad |
|
|
|
|
projektdefinition och kalkyl tas fram. |
|
|
|
|
Minimikostnad 2 MSEK |
|
|
|
|
|
|
|
|
|
Uppbyggande av infrastruktur kring accreditering |
|
|
|
Tillitsramverk |
och certifiering. Utveckla och äga regelverk och |
1000000 |
1000000 |
|
process. Minimikostnad 0.5 MSEK/år |
||||
|
|
|
||
|
|
|
|
|
|
Totalt SEK: |
6500000 |
3000000 |
Inom offentlig förvaltning ska immateriella anläggningstillgångar, så som
136
SOU 2010:104 |
Verksamhetsplan för |
att hanteras som vanliga kostnader9. Ovan kategoriseringar är uppskattningar som kan komma att omarbetas.
Med presenterad kategorisering uppskattas att 7,5 MSEK av de totala investeringarna på 9,5 MSEK bör finansieras via lån från Riksgälden och resterande 2 MSEK hanteras som kostnader, finansierade via statliga anslag.
Operativa kostnader (drift av Svensk
De operativa kostnaderna är direkt relaterade till drift av tjänster och infrastruktur i Svensk
Tabell 8.8 |
Operativa kostnader år |
|
|
|
|
|
|
|
|
2011 |
2012 |
2013 |
||
kostnader (drift av Svensk |
|
|
|
|
|
|
|
|
|
Ansvarsområden (operativa kostnader) |
2 430 000 |
3 330 000 |
4 230 000 |
|
Drift av register |
|
|
500 000 |
1 000 000 |
Räntekostnader (investeringsbelopp 7.5 MSEK) |
|
58 106 |
116 213 |
|
Avskrivning |
|
|
774 750 |
1 549 500 |
|
|
|
|
|
Totala kostnader (SEK) |
2 430 000 |
4 662 856 |
6 895 713 |
|
|
|
|
|
|
9 Immateriella anläggningstillgångar, Ekonomistyrningsverket.
137
Verksamhetsplan för |
SOU 2010:104 |
Dessa kostnader är relaterade till nämndens interna verksamhet och utveckling av Svensk
Tabell 8.9
2011 |
2012 |
2013 |
|
Ansvarsområden (övriga kostnader) |
1 170 000 |
1 395 000 |
1 845 000 |
Omkostnader, inkl. deltagande i utv. arb. kring ISO |
700 000 |
700 000 |
700 000 |
Investeringskostnader (forskningsfas) |
2 000 000 |
|
|
Utveckling, samråd och stöd |
3 700 000 |
3 294 644 |
6 289 288 |
|
|
|
|
Totala kostnader (SEK) |
7 570 000 |
5 389 644 |
8 834 288 |
|
|
|
|
Den kostnadspost som är inlagd för Utveckling, samråd och stöd symboliserar kostnader som tillkommer under modellens upp- byggnads- och lanseringsfas. Efter år 2013 förväntas dessa kostnader försvinna eller avsevärt minska.
Finansiering
Med en bibehållen marknad utifrån skattad ersättning till identi- tetsutfärdarna och en ökad kostnadsmassa, introduktionen av E- legitimationsnämnden och infrastrukturen för Svensk
•Ytterligare anslutna
138
SOU 2010:104 |
Verksamhetsplan för |
•Ökad användning av tjänster som kräver
•Potential för identitetsutfärdarna i skapandet av en liknande struktur för näringslivet
År 2011 genomgår
Senast halvårsskiftet 2012 förväntas Svensk
Tabell 8.10 |
|
|
|||
|
|
|
2011 |
2012 |
2013 |
|
Marknadsstorlek Svensk |
0 |
12,500,000 |
25,000,000 |
|
|
Tillväxttakt |
|
0.00% |
0.00% |
10.00% |
|
Marknadsstorlek Svensk |
0 |
12,500,000 |
27,500,000 |
|
|
|
|
|
|
|
|
|
|
|
||
|
Intäkter |
|
|
|
|
|
Årsavgift IdP (avgift * antalet anslutna) |
0 |
40,000 |
80,000 |
|
|
Årsavgift attributsintygsutfärdare (avgift*antal) |
0 |
12,500 |
25,000 |
|
|
Årsavgift |
0 |
12,500,000 |
26,250,000 |
|
|
|
Totala intäkter: |
0 |
12,552,500 |
26,355,000 |
|
Kostnader |
|
|
|
|
|
Operativa kostnader (Drift av Svensk |
2,430,000 |
4,662,856 |
6,895,713 |
|
|
Grundersättning till identitetsutfärdarna |
0 |
12,500,000 |
20,000,000 |
|
|
Tillväxtbaserad ersättning till identitetsutfärdarna |
|
|
625,000 |
|
|
7,570,000 |
5,389,644 |
8,834,288 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Totala kostnader: |
10,000,000 |
22,552,500 |
36,355,000 |
|
Resultat |
|
|
|
|
|
|
|
|||
|
Behov av statlig finansiering |
|
|
|
|
|
|
|
10,000,000 |
10,000,000 |
10,000,000 |
Uppskattningen bygger på att inte några intäkter kommer nämnden tillhanda under år 2011. Halvårsskiftet 2012 går den operativa driften igång och samtliga nuvarande aktörer ansluts till systemet, en osäkerhetsfaktor är när denna anslutning i praktiken
139
Verksamhetsplan för
kommer att ske. Den totala marknadsstorleken beräknas vara 25 MSEK 2012 baserat på vald prismodell för
För att kompensera identitetsutfärdarna bör ersättningen så snart det är möjligt uppgå till nuvarande marknadsstorlek, alltså ca 20 MSEK. Med denna modell kommer nämnden att nå kostnads- täckning för de operativa kostnaderna år 2014.
I modellen har antagits att ersättningen som betalas ut från nämnden till identitetsutfärdarna är momspliktig och att
8.7.3Övergång från anslagsfinansiering till avgiftsfinansiering
Det finns i direktivet en önskan om att minska de statliga anslagen till
140
SOU 2010:104 |
Verksamhetsplan för |
aktörer och en ökning av antalet
Resonemangen kring prismodell och budget tenderar att bli komplex då det är flera krav i direktivet att förhålla sig till. Det gäller exempelvis att ersättningsnivåerna för
Beskrivet räkneexempel visar på att hälften av marknadens tillväxt används för att täcka nämndens operativa kostnader istället för att betalas ut som extra ersättning till identitetsutfärdarna. Alternativet vore att istället endast låta en mycket liten del av tillväxten tillfalla
Då utredningens förslag för att övergå till en avgiftsfinansierad modell bygger på en höjning av
141
Verksamhetsplan för |
SOU 2010:104 |
8.7.4Risker med affärsmodellen
Under budgetperioden
Det finns ett antal komponenter i affärsmodellen som anses som kritiska för Svensk
1. Identitetsutfärdarna väljer att inte delta i Svensk
Identitetsutfärdarna är grunden för modellen och en nödvändighet för att Svensk
2.
För att Svensk
3. De statliga anslagen avbryts eller minskas kraftigt efter de inledande tre åren
Det kommer inte att vara möjligt att finansiera Svensk
142
SOU 2010:104 |
Verksamhetsplan för |
av
4. Lönsamhet i affärsmodellen uppnås inte då näringslivet inte inkluderas i Svensk
Marknaden relaterad till offentliga Sveriges användning av tjänster som kräver
Internationellt finns ytterliggare exempel på att det inte är självklart att det är möjligt att nå lönsamhet vid etableringen av en nationell modell för
143
9En motsvarande infrastruktur för privat sektor
I detta avsnitt beskrivs hur den av utredningen föreslagna modellen för Svensk
9.1Utgångspunkt
Den av utredningen föreslagna Infrastrukturen för Svensk
Samtidig ska inte
145
En motsvarande struktur för privat sektor |
SOU 2010:104 |
9.2Förslag till lösning
Detta bör kunna uppnås genom att det bildas två samverkande infrastrukturer för identifiering – en för den offentliga sektorn och en för den privata – som i princip använder sig av samma regelverk. Dessa två samverkande infrastrukturer bör från ett användar- perspektiv uppfattas som enhetliga. Hit hör rent praktiska frågor som att samma
Utredningen har därför i olika avseende sökt lösningar för att åstadkomma samverkande infrastrukturer. Bland annat har det föreslagna regelverket för Infrastrukturen för Svensk
En identitetsutfärdare som godkänts inom en ny infrastruktur för offentlig sektor bör, med samma
146
SOU 2010:104 |
En motsvarande struktur för privat sektor |
9.3Genomförande
Det är väsentligt att
Utifrån dessa utgångspunkter är det önskvärt att den som E- legitimationsnämnden upphandlar som leverantör av tekniskt stöd m.m. för offentlig sektors Infrastruktur för identifiering, också ska kunna fylla uppgifter för att en samverkande infrastruktur för privat sektor ska bli verklighet. Dessa kompletterande uppgifter för att införa motsvarande funktioner för privat sektor bör innefatta att
•etablera en
•teckna avtal med de identitetsutfärdare och
•med stöd av uppgifter från register som förs för offentlig sektor upprätta register över de utfärdare av identitets- och attributs- intyg som ansluts och tillhandahålla detta register, och
•upprätta register över de
147
En motsvarande struktur för privat sektor |
SOU 2010:104 |
Denna federationsoperatör för användning av Svensk
•redan har hög trovärdighet inom den privata sektorn och kan förväntas få en hög trovärdighet även som federationsoperatör, för privat sektor,
•bedriver en verksamhet som naturligt kan utvecklas till att omfatta även en roll som federationsoperatör för privat sektor i nära samverkan med offentlig sektor,
•får en oberoende ställning, utan stark koppling till någon viss aktör på marknaden och utan att konkurrensen på marknaden störs,
•kan förväntas få allmänhetens tillit och verka långsiktigt och stabilt,
•har erfarenhet av likartad teknisk och administrativ verksamhet, och
•drivs med en inriktning som inte präglas av enbart vinstintresse utan har en form och en struktur som möjliggör även andra mål
Ett exempel på en tänkbar sådan aktör kan vara Stiftelsen för Internetinfrastruktur (.SE), som enligt utredningens uppfattning utifrån sin verksamhetsform och sina erfarenheter av att hantera domännamn borde ha förutsättningar att införa och stödja en kompletterande federation för den privata sektorn. Utredningen har i sitt arbete också berört frågan med såväl stiftelsen som andra aktörer inom den privata sektorn.
148
10 Konsekvensbeskrivning
I detta avsnitt görs en konsekvensbeskrivning av föreslagen modell med utgångspunkt från problemet som ska lösas, direktivets krav, vilka bedömningar som gjorts i olika frågor och av alternativa lösningsmodeller samt konsekvenser av utredningens förslag.
Beskrivning av problemet och vad som önskas uppnås
Dagens lösning för
Dagens system har dock brister. Det finns ingen sammanhållen och enhetlig infrastruktur för identifiering vilket försvårar och för- modligen hämmar utvecklingen av
Aktörer inom den offentliga sektorn har i linje med det anfört vissa synpunkter på nuvarande modell exempelvis att det krävs fler än ett avtal med leverantörer, vilket krävs om
149
Konsekvensbeskrivning |
SOU 2010:104 |
Dagens
Målet med utredningen är att förbereda bildandet av en nämnd- myndighet för samordning av statens och kommunernas hantering av metoder och tjänster för elektronisk identifiering och signering. Myndighetens verksamhet syftar till att skapa en modell för Svensk
Samtliga invånare, myndigheter, landsting, kommuner samt ett stort antal företag kommer att påverkas av denna förändring.
Alternativa lösningar
Projektet har analyserat problemställningen utifrån förutsättning- arna i direktivet och har därefter formulerat ett antal olika alternativ. Av dessa har utredningen funnit att det förslag som presenterats i denna rapport är det som på bästa sätt motsvarar ställda krav. Det är dock viktigt att ha i åtanke att denna rapport presenterar en föreslagen lösning i en komplex fråga bestående av ett stort antal delkomponenter. Lösningen ska ses som utred- ningens förslag baserat på nuvarande kända förutsättningar, det är dock möjligt att komponenter av förslaget kommer att korrigeras i fortsatt arbete, bland annat baserat på erhållen feedback.
Det kan finnas alternativa genomföranden på organisatoriska och tekniska plan där det kanske viktigaste alternativet är att låta en civilrättslig aktör, till exempel .SE, ta juridiskt ansvar som federa- tionsoperatör och där
150
Konsekvensbeskrivning |
SOU 2010:104 |
Det finns även ytterliggare vägval, bland annat gällande signeringslösning och prismodell, som kan komma att vidare- utvecklas eller omprövas. Exempelvis skulle en prismodell kunna övervägas vilken bygger på att ersättningen är kopplad till volym. Ytterligare ett alternativ som observerats i vissa andra länder innebär att staten utvecklar och finansierar en central
Kostnadsmässiga konsekvenser
För användare av
Utfärdare av
Organisationer som ges möjlighet att agera som e- tjänsteleverantörer drabbas av kostnader för att integrera sina e- tjänster samt av en avgift till
151
Konsekvensbeskrivning |
SOU 2010:104 |
Regleringen och hur den följer Sveriges anslutning till
Europeiska unionen
Önskemålet om en ny lösning för
Här uppkommer också frågor om marknadstillträde, kvalifi- cerade certifikat, säkra anordningar och kvalificerade elektroniska signaturer som måste beaktas när en ny infrastruktur tas fram på området. Även i denna del har analysen hittills inte visat annat än att den föreslagna infrastrukturen kan göras förenlig med de skyldigheter som följer av Sveriges anslutning till Europeiska unionen. Införs en signeringstjänst ökar dessutom Sveriges möjlig- heter att låta svenska medborgare utnyttja utländska tjänster i samband med tjänstedirektivet i de fall det krävs en personlig elektronisk underskrift av elektroniska handlingar. Dessa under- skrifter avses kunna uppfylla kraven för kvalificerade elektroniska underskrifter enligt EU:s signaturdirektiv.
Utredningen föreslår vidare ett tillitsramverk vilket bedöms ligga i linje med det utvecklingsarbete som sker inom EU. Nämnden föreslås vidare delta i EUs fortsatta standardiserings- arbete samt att om det upplevs relevant anpassa den svenska strukturen till den framtida EU standarden.
Tidpunkten för ikraftträdande
Det är mycket viktigt att nuvarande lösningar inte sätts ur spel så att samhället står utan lösning för identifiering och signering. Nuvarande lösning vilar på ramavtal eID2008 som är avtalad till och med juni 2012 vilket måste beaktas vid ett införande av Svensk
152
Konsekvensbeskrivning |
SOU 2010:104 |
att innebära en parallelldrift under övergångsperioden. eID2008 ligger också till grund för
Konsekvenser för företag
Utfärdare av
Dagens leverantörer av infratjänster kan i modellen komma att få en ändrad roll då
Attributsutfärdare ska uppfylla regelverkets krav (certifiering). Alla attributsleverantörer som uppfyller regelverket och som anses tillföra attribut som är av allmänt intresse för infrastrukturens e- tjänster, kan anslutas som attributstjänster.
En majoritet av dagens
153
Konsekvensbeskrivning |
SOU 2010:104 |
Konsekvenser för konkurrensförhållandena mellan företag och särskilda hänsyn
Ett valfrihetssystem medför fri konkurrens mellan leverantörer av
Fri konkurrens mellan
Vissa system för utfärdande av
Det är viktigt att även små företag kan ges en möjlighet att legitimera sig på lämpligt sätt inom ramen för infrastrukturen och att det skapas incitament som gör det attraktivt för marknadens aktörer att erbjuda sådana lösningar.
154
11 Författningskommentar
11.1Förslag till lag om valfrihet för Svensk e- legitimation
1 §
I paragrafens första stycke anges att
Förslaget har behandlats i avsnitt 4.2.1
2 §
Paragrafen innebär att
Paragrafens andra stycke innebär att
Förslaget har behandlats i avsnitt 4.2.1
3 §
Paragrafen innebär att kommuner och landsting ges möjlighet att uppdra åt
Förslaget har behandlats i avsnitt 4.2.3.
155
Bilaga 1
Kommittédirektiv
En myndighet för samordning av elektronisk |
Dir. |
identifiering och signering |
2010:69 |
|
|
Beslut vid regeringssammanträde den 17 juni 2010
Sammanfattning
En särskild utredare ska förbereda och genomföra bildandet av en nämndmyndighet för samordning av statens och kommunernas hantering av metoder och tjänster för elektronisk identifiering och signering
Utredaren ska bl.a. besluta om nämndens närmare organisation och arbetssätt samt lämna förslag till författningsreglering.
Nämnden ska kunna inleda sin verksamhet den 1 januari 2011. Uppdraget gäller med förbehåll för riksdagens beslut i de delar det behövs.
Uppdraget ska slutredovisas senast den 31 december 2010.
Bakgrund
Nuvarande system för elektronisk identifiering och signering
För många
Statens och kommunernas användning av metoder för identifiering och signering i samband med
157
Bilaga 1 |
SOU 2010:104 |
ramavtalsupphandlingar, från vilka statliga myndigheter och anslutna kommuner kan göra avrop. Nuvarande ramavtal (Eid 2008) löper ut den 30 juni 2011 och kan förlängas till den 30 juni 2012. Ett leveransavtal som upprättas efter avrop på befintliga ramavtal kan ha samma avtalslängd som det ursprungliga ram- avtalets avtalsperiod. Ett avrop från nuvarande ramavtal (Eid 2008) kan således ske senast den 30 juni 2012 och gälla under fyra år, som längst till den 30 juni 2016.
Det nuvarande systemet med ramavtalsupphandlingar av ett fåtal tjänsteleverantörer har varit utformat i första hand för att få till stånd en snabb utveckling av
Det nuvarande systemet, som används av ett antal myndigheter och kommuner, har utsatts för viss kritik. Det har framförts att debiteringssystemet leder till höga kostnader för vissa små myndig- heter och kommuner samt att kostnaderna är oförutsägbara. Myndigheter har också anfört att det är komplicerat att sluta avtal med flera leverantörer, vilket krävs om
I lagen (2000:832) om kvalificerade elektroniska signaturer finns bestämmelser om säkra anordningar för signaturframställning, om kvalificerade certifikat för elektroniska signaturer och om utfärdande av sådana certifikat. Post- och telestyrelsen utövar enligt lagen tillsyn över utfärdare av kvalificerade certifikat till allmänheten. I dag finns en certifikatutfärdare anmäld.
158
SOU 2010:104 |
Bilaga 1 |
tionsutbyte och säker hantering av elektroniska handlingar (Rapport 2008:12).
Delegationen föreslår att det inrättas en nämnd med uppgift att fastställa gemensamma krav för myndigheternas användning av e- legitimationer. Nämnden föreslås också få ansvar för att säkerställa att förvaltningen har tillgång till tjänster för elektronisk identifiering och signering samt s.k. identitetsintyg. Enligt förslaget ska samordningsfunktionen också tillhandahålla en identi- tetsintygstjänst till myndigheter och kommuner om det behövs. Delegationen föreslår att nämnden inrättas i form av ett särskilt beslutsorgan inom Skatteverket. Förslaget syftar till att förenkla för medborgare och företag, att underlätta för myndigheterna och att öppna för fler leverantörer.
Riksrevisionens iakttagelser
I rapporten
2010 års förvaltningspolitiska proposition
Regeringen har i propositionen Offentlig förvaltning för demokrati, delaktighet och tillväxt gjort bedömningen att statens långsiktiga försörjning av elektroniska legitimationer bör bygga på lösningar
159
Bilaga 1 |
SOU 2010:104 |
som utvecklas av marknaden (prop. 2009/10:175 s. 70 f.). De bör uppfylla krav på hög säkerhet och tillgänglighet samt teknisk samverkansförmåga. Regeringen uttalade vidare att hanteringen av
Uppdrag att inordna inköpsverksamheter inom den statliga inköpssamordningen
Regeringen har den 6 maj 2010 uppdragit åt Kammarkollegiet att förbereda och genomföra inordnandet av upphandlingsverksam- heterna som sker genom ramavtal och som avser statlig inköps- samordning vid vissa myndigheter (dnr Fi2010/2733). Uppdraget ska vara genomfört senast den 1 januari 2011.
En myndighet för samordning av elektronisk identifiering och signering
Behovet av en myndighet
Tillgång till säkra och effektiva metoder för elektronisk signering och identifiering är en förutsättning för utvecklingen av nya och mer avancerade
Den föreslagna lösningen möjliggör vidare att samtliga leverantörer som har en lösning som uppfyller de uppställda kraven kan få tillträde till marknaden. En sådan lösning kan därmed förväntas förbättra förutsättningarna för en fungerande konkurrens på marknaden för elektronisk identifiering och signering. Remiss- instanserna stödjer i stort utredningens förslag till förbättring av samordningen genom att inrätta en nämnd.
160
SOU 2010:104 |
Bilaga 1 |
Regeringen delar uppfattningen att dessa övergripande syften är väsentliga för den fortsatta utvecklingen på området. Regeringen bedömer också, i likhet med ett flertal av de remissinstanser som uttalar sig i frågan, att
Syftet med myndigheten
Myndighetens verksamhet bör ha följande övergripande syften:
-Privatpersoner och företag ska kunna använda en och samma e- legitimation vid nyttjande av alla
-Konkurrensen och förutsättningarna för utveckling av nya tjänster för elektronisk identifiering och signering ska förbättras.
-Myndigheternas och kommunernas kostnader ska minska genom att färre kompetenser och funktioner behöver finnas hos varje organisation när fler funktioner är centralt samordnade eller upphandlas på marknaden.
Myndighetens uppgifter
Myndigheten ska samordna statens och kommunernas arbete med och användning av metoder och tjänster för elektronisk identifiering och signering
-att fastställa de krav som ska vara gemensamma för de statliga myndigheternas användning av elektronisk identifiering och signering, och
161
Bilaga 1 |
SOU 2010:104 |
-att myndigheten ska säkerställa att nödvändiga tjänster och funktioner (t.ex. identitetsintygsgivare, anvisningstjänster samt register över godkända identitetsintygsgivare, anvisningstjänster och
Även i fortsättningen bör förvaltningen använda sig av tjänster och metoder som utvecklas och tillhandahålls av aktörer på marknaden. I detta sammanhang ska lagen (2007:1091) om offentlig upphandling beaktas. Myndigheten ska på lämpligt sätt välja ut och godkänna leverantörer av sådana tjänster. Om det krävs för att säkerställa behovet av nödvändiga tjänster och funktioner ska myndigheten sluta avtal med identitetsintygsgivare och med leverantörer av tjänster för identifiering och signering. Om det är nödvändigt ska myndigheten i egen regi tillhandahålla tjänster för identitetsintyg till anslutna myndigheter.
Det är viktigt att myndighetens organisation och verksamhet utformas på ett sådant sätt att goda förutsättningar ges för konkurrens och för utveckling av tjänster på marknaden.
Myndigheten bör därför tillhandahålla tjänster till myndigheter och kommuner endast om det är nödvändigt för att säkerställa förvaltningens tillgång till elektronisk identifiering och signering under de förutsättningar och med de mål som angivits. Utförandet av sådana tjänster bör i normalfallet upphandlas på marknaden. Detta gäller såväl identitetsintygstjänster som tjänster för identifiering och signering. Myndigheten ska emellertid inte, om det inte finns särskilda skäl, utföra uppgifter som faller inom den statliga inköpssamordningen som Kammarkollegiet ansvarar för (se även ovannämnda uppdrag till Kammarkollegiet).
Utöver dessa löpande uppgifter ska myndigheten ansvara för att på ett övergripande plan följa utvecklingen inom området. Detta avser exempelvis frågor om organisationslegitimationer och anlitande av ombud vid elektroniska kontakter med myndig- heterna. Myndigheten ska följa utvecklingen såväl i Sverige som internationellt när det gäller tekniska och administrativa lösningar för elektronisk identifiering och signering. Myndigheten ska också delta i internationellt samarbete i dessa avseenden.
Myndighetens verksamhet ska ge marknaden förutsättningar att utveckla de lösningar som krävs för förvaltningens behov.
Verksamheten bör organiseras på ett sådant sätt att myndig- hetens informationsresurser och tjänster så långt som möjligt kan utgöra utgångspunkt för kommersiella tjänster.
162
SOU 2010:104 |
Bilaga 1 |
Myndighetens organisation
Elektronisk identifiering och signering är centrala funktioner för e- förvaltningen och för samhället i övrigt. Det är viktigt att myndigheten har ett högt förtroende och en hög legitimitet i hela den offentliga förvaltningen och hos näringslivet. Det är vidare angeläget att verksamheten bedrivs med en stor grad av själv- ständighet gentemot de myndigheter som använder nämndens tjänster eller vars verksamhet i övrigt påverkas av dess beslut. Förslaget att placera nämnden vid Skatteverket har tillstyrkts av en majoritet av de remissinstanser som uttalat sig i frågan. Några remissinstanser framhåller dock att det är viktigt att inte värdmyndighetens egna behov tillåts styra utvecklingen.
Regeringen anser att den samordning som myndigheten ska ansvara för bör bedrivas med en hög grad av självständighet. Verksamheten ska därför organiseras i form av en nämnd- myndighet. Nämndens ordförande och övriga ledamöter ska utses av regeringen. Skatteverket ska tillhandhålla kansliresurser och administrativt stöd till nämnden. Personalen ska vara anställd i Skatteverket. Nämnden ska ansvara för arbetsledning avseende personalens arbete med nämndens uppgifter.
Finansiering av verksamheten
Statliga myndigheters och kommuners användning av tjänster för identifiering och signering ska, liksom nu, finansieras av respektive myndighet eller kommun. När en statlig myndighet eller kommun använder nämndens tjänster ska myndigheten eller kommunen betala en avgift. De samlade avgiftsintäkterna ska helt finansiera de samlade kostnader som nämnden har för användning av upp- handlade tjänster för identifiering, signering och tillhandahållande av identitetsintyg. Avgiftsfinansieringen bör leda till lägre totala kostnader för såväl varje statlig myndighet och kommun som förvaltningen som helhet.
Därutöver bör nämndens verksamhet på sikt i så stor utsträckning som möjligt täckas av avgiftsintäkter.
163
Bilaga 1 |
SOU 2010:104 |
Uppdraget
En särskild utredare ska förbereda och genomföra bildandet av en nämnd för samordning av statens och kommunernas hantering av metoder och tjänster för elektronisk identifiering och signering (e- legitimationer). Nämnden ska ha Skatteverket som värdmyndighet. Utredaren ska utgå från vad regeringen ovan angett om nämndens verksamhetsområde. Utredaren ska bedriva sitt arbete så att nämnden kan inleda sin verksamhet den 1 januari 2011.
Utredaren ska lämna förslag på nämndens ansvarsområde, finansieringsform och mål för verksamheten. Förslagens verksamhetsmässiga, ekonomiska och personella konsekvenser samt konsekvenser för företag ska redovisas. Utredaren ska särskilt uppmärksamma konsekvenserna för statligt och kommunalt ägda bolag och hur dessas deltagande i samordningen förhåller sig till bestämmelserna om offentlig upphandling. Utredaren ska lämna förslag till instruktion för nämnden och andra författnings- ändringar som bildandet av nämnden föranleder.
Nämndens organisation
Utredaren ska föreslå lämpliga arbetsformer för verksamheten samt en arbetsordning, en arkivplan och en verksamhetsplan för nämnden. Verksamhetsplanen ska avse perioden
I förberedelserna ingår att bedöma vilken kompetens som är nödvändig för nämndens verksamhet samt så långt som möjligt förbereda anställning av den personal som behövs vid kansliet.
Utredaren ska analysera om någon verksamhet vid en befintlig myndighet bör överföras till nämnden.
Nämndens finansiering
Utredaren ska närmare analysera förutsättningarna för att finansiera verksamheten till större delen med avgifter. Hur och i vilken utsträckning en övergång till avgiftsfinansiering kan ske ska redovisas i utredarens slutredovisning. Utredaren ska lämna förslag
164
SOU 2010:104 |
Bilaga 1 |
till de författningsändringar och reglering i övrigt som krävs för avgiftsfinansiering av verksamheten.
Nämndens tjänster åt andra myndigheter
Utredaren ska analysera vilka tjänster nämnden ska tillhandahålla andra myndigheter. Verksamhetsplanen ska ange vilka tjänster som nämnden ska tillhandahålla myndigheter och kommuner, om tjänsterna ska upphandlas på marknaden samt en tidsplan för när dessa tjänster kan tillhandahållas.
Utredaren bör i första hand överväga om ansvaret för eventuella upphandlingar bör överlåtas till Kammarkollegiets inköps- samordningsverksamhet i syfte att åstadkomma samordnade avtal för statliga myndigheter och kommuner. I detta sammanhang bör regeringens ovannämnda beslut av den 6 maj 2010 beaktas (dnr Fi2010/2733).
Förberedelser för nämndens verksamhet
Utredaren ska förbereda nämndens verksamhet genom att påbörja arbetet med underlag för de krav som ska vara gemensamma för de statliga myndigheternas användning av elektronisk identifiering och signering. Utredaren ska analysera i vilken mån sådana krav bör fastställas i föreskrifter.
I uppdraget ingår att analysera hur förvaltningens behov av metoder och tjänster för elektronisk identifiering och signering kan tillgodoses utan att onödiga investeringar görs i infrastruktur.
Om utredaren bedömer att det finns behov av att upphandla tjänster och produkter för samordningsfunktionens verksamhet i de delar som omfattar tillhandahållande av tjänster till andra myndigheter, ska utredaren påbörja arbetet med att ta fram specifikationer och underlag för sådana upphandlingar.
Utredaren ska också finna former för hur utvärdering av tekniska lösningar och val av leverantörer ska ske i samband med upphandling.
165
Bilaga 1 |
SOU 2010:104 |
Nämndens samverkan med andra aktörer
Utredaren ska bedöma vilket behov det finns av samverkan mellan nämnden och övriga statliga myndigheter, kommuner samt näringslivet och dess organisationer. Utredaren ska finna former för sådan samverkan.
Utredaren ska analysera hur myndigheten på ett ändamålsenligt sätt ska delta i internationellt samarbete.
Integritetsfrågor
Såväl i
Utredaren ska därför särskilt uppmärksamma att nämndens verksamhet organiseras på ett sådant sätt att den nödvändiga behandlingen av personuppgifter minimeras och de registrerade på ett effektivt sätt kan utöva sina rättigheter. Utgångspunkten ska vara att personuppgiftslagens (1998:204) bestämmelser ska gälla. Utredaren ska dock överväga om det krävs särskild reglering av nämndens hantering av personuppgifter, t.ex. sekretessreglering eller reglering i en registerförfattning.
Uppdragets genomförande och tidsplan
Samråd
Uppdraget ska genomföras i samråd med Arbetsförmedlingen, Bolagsverket, Centrala studiestödsnämnden, Datainspektionen, Domstolsverket, Försäkringskassan, Jordbruksverket, Kammar-
166
SOU 2010:104 |
Bilaga 1 |
kollegiet, Konkurrensverket, Lantmäteriet, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Pensions- myndigheten, Post- och Telestyrelsen, Riksarkivet, Rikspolis- styrelsen, Skatteverket, Tillväxtverket, Transportstyrelsen, Tullverket,
Myndigheterna ska efter samråd med utredaren lämna utredaren det underlag som utredaren och myndigheten bedömer behövs för att genomföra uppdraget.
Redovisning
Utredaren ska senast den 1 september 2010 lämna förslag till instruktion för nämnden samt förslag till andra författnings- ändringar som krävs för att myndigheten ska kunna inleda sin verksamhet den 1 januari 2011.
Senast den 1 november 2010 ska utredaren lämna förslag till verksamhetsmål och verksamhetsplan för
Det står utredaren fritt att lämna även andra förslag som behövs för nämndens verksamhet.
Uppdraget ska slutredovisas senast den 31 december 2010.
(Finansdepartementet)
167
Bilaga 2
Svensk författningssamling
SFS 2010:1497
Utkom från trycket den 7 december 2010
Förordning
med instruktion för
utfärdad den november 2010.
Regeringen föreskriver följande.
Uppgifter
1 §
2 § Myndigheten ska utveckla specifikationer och liknande krav som ska vara gemensamma för myndigheter under regeringen i deras användning av
Ledning
3 § Myndigheten leds av en nämnd.
4 § Nämnden ska bestå av högst sju ledamöter. Ledamöterna utses av regeringen för en bestämd tid.
169
Bilaga 2 |
SOU 2010:104 |
Organisation
5 § Vid myndigheten ska det finnas ett kansli.
6 § Skatteverket ska upplåta lokaler samt sköta administrativa och handläggande uppgifter åt myndigheten.
7 § Skatteverket ska efter samråd med nämnden uppdra åt någon som är anställd vid verket att ansvara för kansliet.
Denna förordning träder i kraft den 1 januari 2011.
På regeringens vägnar
Rikard Jermsten (Finansdepartementet)
170
Bilaga 3
Regeringsbeslut IV 1
Finansdepartementet
Förordnande av ledamöter i
Regeringen förordnar följande personer att vara ledamöter i
generaldirektören Annika Bränström direktören Gunilla Glasare generaldirektören Göran Gräslund verkställande direktören Kerstin af Jochnick lagmannen Pia Johansson
Förordnandena gäller fr.o.m. den 1 januari 2011 t.o.m. den 31 januari 2010.
Vidare utser Stig Jönsson till att vara ordförande i nämnden.
På regeringens vägnar
Gustaf Johnssén
171
Bilaga 4
Begrepp och definitioner
Definitioner av centrala begrepp för den föreslagna infrastrukturen:
1.Svensk
2.Infrastrukturen för svensk
3.Infrastrukturen för identifiering; en del av infrastrukturen för svensk
4.Identitetsutfärdare; den som utfärdar identitetsintyg inom infra- strukturen för identifiering,
5.Attributsutfärdare; den som utfärdar attributsintyg inom infrastrukturen för identifiering eller en annan anknytande infrastruktur,
6.
7.Användare; den som har en privat
8.Identitetsintyg; ett av en identitetsutfärdare utställt intyg i elek- tronisk form med uppgifter om en användares identitet och attribut,
1 Här avses myndigheters, landstings, kommuners och vissa andra organs
173
Bilaga 4 |
SOU 2010:104 |
9.Attributsintyg; ett av en attributsutfärdare utställt intyg i elektronisk form med uppgifter om användares juridiska behörighet, organisatoriska roll eller andra egenskaper,
10.Centralt utfärdarregister; ett register som
11.Centralt
12.Tillitsnivå; den skyddsklass till vilken en
13.Signaturtjänsten; det tekniska och administrativa stöd som E- legitimationsnämnden lämnar åt en
14.Anvisningstjänsten; det tekniska och administrativa stöd som E- legitimationsnämnden lämnar åt en
174
Bilaga 5
Utkast till förordning om infrastrukturen för Svensk
Härigenom föreskrivs följande.
Inledande bestämmelser
Förordningens innehåll
1 § I denna förordning finns bestämmelser om
1.definitioner (2 §)
2.syfte och tillämpningsområde (3 och 4 §§),
3.register och persondataskydd
4.anvisningstjänst, signeringstjänst och underleverantörer (15– 17 §§),
5.anslutning
6.tjänsternas utformning och aktivering
7.tjänsternas användning
8.avgifter (41 §), och
9.bemyndigande (42 §).
Definitioner
2 § I denna förordning menas med
1. Svensk
2.Infrastrukturen för svensk
3.Infrastrukturen för identifiering; en del av infrastrukturen för svensk
175
Bilaga 5 |
SOU 2010:104 |
lämnats om identitet eller juridisk behörighet eller andra attribut är riktiga,
4.Identitetsutfärdare; den som utfärdar
5.Attributsutfärdare; den som utfärdar attributsintyg inom infrastrukturen för identifiering eller en annan anknytande infrastruktur,
6.
7.Användare; den som har en privat
8.Identitetsintyg; ett av en identitetsutfärdare utställt intyg i elektronisk form med uppgifter om en användares identitet och attribut,
9.Attributsintyg; ett av en attributsutfärdare utställt intyg i elektronisk form med uppgifter om användares juridiska behörighet, organisatoriska roll eller andra egenskaper,
10.Utfärdarregister; ett register som
11.
12.Tillitsnivå; den skyddsklass till vilken en
13.Signaturtjänsten; det tekniska och administrativa stöd som E- legitimationsnämnden lämnar åt en
14.Anvisningstjänsten; det tekniska och administrativa stöd som
Förordningens syfte och tillämpningsområde
3 § Denna förordning syftar till att etablera en infrastruktur för Svensk
176
SOU 2010:104 |
Bilaga 5 |
4 § Förordningen gäller för statliga myndigheter under regeringen. Den tillämpas också på myndigheter under riksdagen och kommunala myndigheter som anslutit sig till infrastrukturen för Svensk
Register och behandling av personuppgifter
Utfärdar- och
5 §
1.de identitetsutfärdare och attributsutfärdare som är anslutna till infrastrukturen för identifiering (utfärdarregister), och
2.de
Registrens innehåll
6 § I
1.elektronisk adress till anslutna identitetsutfärdare, attributs- utfärdare och
2.vilken identitets- och attributsinformation en
3.vilka uppgifter en identitets- eller en attributsutfärdare kan tillhandahålla i identitets- eller attributsintyg, och
4.de certifikat och publika nycklar som behövs för att skydda uppgifter i utfärdade identitets- och attributsintyg och att kontrollera om intyg som tagits emot är äkta.
7§ Utfärdar- och
1.information om kommunikation mellan användare och e- tjänsteleverantörer,
2.innehållet i identitets- eller attributintyg eller handlingar som ska undertecknas eller har undertecknats, eller
3.uppgifter som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
177
Bilaga 5 |
SOU 2010:104 |
Elektronisk åtkomst
8 §
9 § Utfärdarregistret får göras tillgängligt elektroniskt så att det kan användas för att utfärda identitets- eller attributintyg utanför infrastrukturen för svensk
Persondataskyddande teknik
10 § De tekniska och administrativa lösningarna ska ges en sådan utformning att så få personuppgifter som möjligt samlas in, lämnas ut eller annars behandlas och att inte fler uppgifter än nödvändigt samlas in eller bevaras så att de blir direkt tillgängliga.
Registrens användning
11 § Uppgifter i utfärdarregistret får användas utanför infra- strukturen för identifiering för att stödja motsvarande tjänster åt företag och andra organisationer som tillhandahålls genom e- tjänsteregister som inte är en del av infrastrukturen för identifiering.
12 § En identitets- eller attributsutfärdare får inhämta person- uppgifter endast direkt från en användare eller med dennes uttryckliga samtycke och endast i den utsträckning som är nödvändig för att utfärda eller upprätthålla certifikat eller identitets- eller attributsintyg. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt samtycke från användaren.
13 § En identitets- eller attributsutfärdare får inte bevara uppgifter som kan användas för att kartlägga en användares nyttjande av
178
SOU 2010:104 |
Bilaga 5 |
tillhandahållna tjänster i större utsträckning än vad som är nödvändigt för att avtalet med användaren ska kunna fullgöras.
14 § Personuppgifter hos en identitets- eller attributsutfärdare eller en
Anvisningstjänst, signeringstjänst och underleverantörer
15 §
16 §
17 §
Anslutning
Anslutning av identitetsutfärdare till infrastrukturen för identifiering
18 § Efter ansökan ansluter
19 § Den som uppfyller kraven i ett förfrågningsunderlag enligt lagen (2011:000) om valfrihet för svensk
179
Bilaga 5 |
SOU 2010:104 |
Anslutning av attributsutfärdare till infrastrukturen för identifiering
20 § Efter ansökan ansluter
21 § En attributsutfärdare får anslutas till infrastrukturen för identifiering om utfärdaren
1.enligt lag eller författning ska registrera och tillhandahålla de uppgifter som lämnas i attributsintygen och uppgifterna är av generell betydelse från kontrollsynpunkt, eller
2.det finns särskilda skäl från kontrollsynpunkt att ett visst slag av attribut från en viss utfärdare ska kunna lämnas inom infrastrukturen för identifiering.
22 § Särskilda skäl från kontrollsynpunkt föreligger om det finns ett utbrett behov inom offentlig förvaltning av tillförlitlig åtkomst till uppgiften och den inte finns tillgänglig på fungerande sätt i annan ordning.
23 §
24 §
Anslutning av
25 § Efter ansökan ansluter
180
SOU 2010:104 |
Bilaga 5 |
genom att nämnden tecknar avtal med
26 §
27 §
Anslutning av
28 § Efter ansökan ansluter
29 §
30 §
Ansökan om anslutning
31 § En ansökan om anslutning ska ges in till
181
Bilaga 5 |
SOU 2010:104 |
Tjänsternas utformning och aktivering
32 § En svensk
33 § Skyddet för infrastrukturen för svensk
34 § Identitetsutfärdares, attributsutfärdares och
35 §
Tjänsternas användning
36 § En användare som tilldelats en privat
1. legitimering vid tillträde, för att elektroniskt få tillgång till uppgifter som får lämnas ut till honom eller henne och för att få skydd mot att obehöriga får tillgång till uppgifterna under sken av att vara honom eller henne, eller
182
SOU 2010:104 |
Bilaga 5 |
2.legitimering vid uppgiftslämnande, för att få lämna uppgifter elektroniskt och för att få skydd mot att obehöriga lämnar uppgifter under sken av att vara honom eller henne,
3.elektronisk underskrift, för att ställa ut elektroniska handlingar som är skyddade mot förfalskning och förnekande av elektronisk underskrift på liknande sätt som en handling som är undertecknad på traditionellt sätt.
37 § En myndighet använder identitetsintyg för
1.identifiering vid tillträde, för att kunna ge tillgång till uppgifter elektroniskt så att inte obehöriga får ut uppgifterna,
2.identifiering vid uppgiftslämnande, för att kontrollera vem som är ansluten när vissa uppgifter lämnas, och
3.kontroll av elektronisk underskrift, för att granska att en handling som undertecknats elektroniskt är utställd av den som anges som undertecknare och att texten inte har ändrats.
38 § En myndighet använder ett attributsintyg för att kontrollera om en person har juridisk behörighet att agera för annans räkning, viss befattning eller annan roll eller egenskap eller på annat sätt är förknippad med något som en attributsutfärdare kan intyga.
39 § Privat
40 § Identitetsutfärdares, attributsutfärdares och
Avgifter
41 §
183
Bilaga 5 |
SOU 2010:104 |
Bemyndigande
42 §
1.tillitsnivåer och tillitsramverk för Svensk
2.
3.ansökan om anslutning enligt denna förordning och beredning av sådana ärenden,
4.certifiering och andra förfaranden för att visa överens- stämmelse med tillitsnivåer och tillitsramverk,
5.aktivering av identitetsutfärdares, attributsutfärdares och e- tjänsteleverantörers anslutningar och funktioner, och
6.skydd för infrastrukturen för Svensk
Denna förordning träder i kraft den [ ] 2011
184
Bilaga 6
Regelverk för Infrastrukturen för
Svensk
185
Bilaga 6 |
SOU 2010:104 |
1.Bakgrund
1.1Av lagen (2011:000) om valfrihet för Svensk e- legitimation följer att
1.2
1.3Detta regelverk tillämpas inom Infrastrukturen för Svensk
a)utfärda, använda, verifiera och spärra Svensk e- legitimation,
b)tillhandahålla en Infrastruktur för identifiering där
i.
ii.centrala register över aktörer förmedlar uppgifter om aktörernas tjänster och funktioner för tillit och säkert informationsutbyte,
iii.en anvisningstjänst kan ge användaren av en
c)tillhandahålla en signeringstjänst som gör det möjligt för användaren att skriva under elektroniska handlingar.
1.4Dessa regler har till syfte att etablera funktioner för e- legitimationer, elektroniska underskrifter och identitets- och attributsintyg som är enkla att förstå och använda och som på ett balanserat sätt kan tillgodose skyddet för
186
SOU 2010:104 |
Bilaga 6 |
rättssäkerheten, informationssäkerheten och enskildas personliga integritet.
1.5De tekniska och administrativa lösningarna ska utformas så att så få personuppgifter som möjligt samlas in, lämnas ut eller annars behandlas och att inte fler uppgifter än nödvändigt samlas in och bevaras så att de blir direkt tillgängliga.
1.6Den som tillhandahåller tjänster för identifiering inom Infrastrukturen för Svensk
2.Definitioner
I detta regelverk används följande beteckningar i nedan angiven betydelse.
1.Svensk
2.Infrastrukturen för Svensk
3.Infrastrukturen för identifiering; en del av Infrastrukturen för Svensk
4.Identitetsutfärdare; den som utfärdar identitetsintyg inom Infra- strukturen för identifiering,
187
Bilaga 6 |
SOU 2010:104 |
5.Attributsutfärdare; den som utfärdar attributsintyg inom Infra- strukturen för identifiering eller en annan anknytande infra- struktur,
6.
7.Användare; den som har en privat
8.Identitetsintyg; ett av en identitetsutfärdare utställt intyg i elek- tronisk form med uppgifter om en användares identitet och attribut,
9.Attributsintyg; ett av en attributsutfärdare utställt intyg i elektronisk form med uppgifter om användares juridiska behörighet, organisatoriska roll eller andra egenskaper,
10.Centralt utfärdarregister; ett register som
11.Centralt
12.Tillitsnivå; den skyddsklass till vilken en
13.Signaturtjänsten; det tekniska och administrativa stöd som E- legitimationsnämnden lämnar åt en
14.Anvisningstjänsten; det tekniska och administrativa stöd som E- legitimationsnämnden lämnar åt en
3.Det samordnade området
Aktörer och uppgifter
1.7
a)utarbeta underlag för föreskrifter beträffande Infra- strukturen för Svensk
188
SOU 2010:104 |
Bilaga 6 |
villkor i de delar Infrastrukturen för Svensk
b)meddela föreskrifter inom ramen för den normgivnings- kompetens som delegeras till nämnden,
c)upphandla leverantörer av tekniska tjänster för Infra- strukturen för Svensk
d)sluta avtal med aktörer inom Infrastrukturen för Svensk e- legitimation,
e)inrätta en Infrastruktur för identifiering inom ramen för Infrastrukturen för Svensk
i.inrätta ett valfrihetssystem för Infrastrukturen för identifiering, och
ii.besluta och avtala om anslutning till Infrastrukturen för identifiering.
1.8Identitetsutfärdare som ansluts till Infrastrukturen för identifiering ska tillhandahålla identitetsintyg åt e- tjänsteleverantörer. Den som lämnar identitetsintyg inom Infrastrukturen för identifiering ska ha ställt ut de e- legitimationer som brukas eller – såvitt är av betydelse för ett lämnat intyg – svara för
1.9Attributsutfärdare som anslutits till Infrastrukturen för identifiering ska tillhandahålla uppgifter åt
1.10Användare brukar privat
189
Bilaga 6 |
SOU 2010:104 |
1.11
Register
1.12
a)de identitetsutfärdare och attributsutfärdare som är anslutna till Infrastrukturen för identifiering (utfärdar- register), och
b)de
1.13I dessa register ska finnas uppgifter om
a)elektroniska adresser till anslutna identitets- och attributs- utfärdare och
b)vilka uppgifter en
c)vilka identitetsuppgifter och attribut som en identitets- eller en attributsutfärdare kan tillhandahålla, och
d)de certifikat och nycklar som en utfärdare av identitets- eller attributsintyg använder för att stämpla intygen och som
1.14Uppgifter i utfärdarregistret ska få användas även inom anknytande infrastrukturer för motsvarande tjänster åt företag och andra organisationer, som registreras i e- tjänsteregister som inte är en del av Infrastrukturen för identifiering.
1.15Utfärdar- och
190
SOU 2010:104 |
Bilaga 6 |
1.16I förordningen (2010:000) om Infrastrukturen för Svensk
Anvisningstjänst
1.17
Signeringstjänst
1.18
Underleverantörer
1.19
1.20
191
Bilaga 6 |
SOU 2010:104 |
1.21Användare anskaffar privat
1.22Myndigheter och andra organisationer anskaffar
1.23Svensk
1.24
Användning av
1.25En Svensk
a)Privat
b)
En användare kan emellertid bruka en privat
1.26En användare som tilldelats en privat
1)legitimering vid
a)tillträde, för att elektroniskt få tillgång till uppgifter som får lämnas ut till honom eller henne och för att få skydd
192
SOU 2010:104 |
Bilaga 6 |
mot att obehöriga får tillgång till uppgifterna under sken av att vara honom eller henne,
b)uppgiftslämnande, för att få lämna uppgifter elektroniskt och för att få skydd mot att obehöriga lämnar uppgifter under sken av att vara honom eller henne,
2)elektronisk underskrift, för att ställa ut elektroniska handlingar som är skyddade mot förfalskning och förnekande av elektronisk underskrift på liknande sätt som en handling som är undertecknad på traditionellt sätt.
1.27Genom en anvisningstjänst stöds funktioner för att använ- dare ska kunna välja en
1.28En myndighet använder identitetsintyg för att kontrollera
1)legitimering,
a)vid tillträde, för att kunna ge tillgång till uppgifter elektroniskt så att inte obehöriga får ut uppgifterna,
b)vid uppgiftslämnande, för att kontrollera vem som är ansluten när vissa uppgifter lämnas, och
2)elektronisk underskrift, för att granska om en handling som har undertecknats elektroniskt är utställd av den som anges som undertecknare.
1.29En myndighet använder ett attributsintyg för att kontrollera om en person har juridisk behörighet att agera för annans räkning, viss befattning eller annan roll eller egenskap eller på annat sätt är förknippad med något som en attributsutfärdare kan intyga.
4.Regelverkets delar
1.30Infrastrukturen för Svensk
193
Bilaga 6 |
SOU 2010:104 |
Avtal efter upphandling av teknisk drift
1.31
a)utfärdarregister och
b)anvisningstjänst, och
c)signeringstjänst.
Avtal efter upphandling av valfrihetssystem
1.32
a)identitetsutfärdare som uppfyller de krav som ställs upp inom valfrihetssystemet, och
b)myndigheter som ansluter sig som
c)Dessa avtal ska innehålla de ramar som anges i bilaga 4 och 5.
Avtal om
1.33En fysisk person som ansöker om en
1.34Juridiska personer som ansöker om
194
SOU 2010:104 |
Bilaga 6 |
5.Anslutning
Anslutning av identitetsutfärdare till Infrastrukturen för identifiering
1.35Anslutning av identitetsutfärdare till Infrastrukturen för identifiering sker efter ansökan hos
1.36Den som uppfyller kraven i ett förfrågningsunderlag enligt lagen (2011:000) om valfrihet för Svensk
Anslutning av attributsutfärdare till Infrastrukturen för identifiering
1.37Anslutning av attributsutfärdare till Infrastrukturen för identifiering sker genom
a)beslut av
b)avtal, efter ansökan av annan än myndighet under regeringen.
1.38En attributsutfärdare får anslutas till Infrastrukturen för identifiering om utfärdaren
a)enligt lag eller författning ska registrera och tillhandahålla de uppgifter som avses lämnas i attributsintygen och uppgifterna är av generell betydelse från kontrollsynpunkt, eller
b)det finns särskilda skäl från kontrollsynpunkt att ett visst slag av attribut från en viss utfärdare ska kunna lämnas inom Infrastrukturen för identifiering.
1.39Särskilda skäl från kontrollsynpunkt föreligger om det finns ett utbrett behov inom offentlig förvaltning av tillförlitlig åtkomst till uppgiften och den inte finns tillgänglig på fungerande sätt i annan ordning.
195
Bilaga 6 |
SOU 2010:104 |
1.40
1.41
Anslutning av
1.42Anslutning av
a)beslut av
b)avtal, efter ansökan av annan än myndighet under regeringen.
1.43
1.44
1.45Vid anslutning genom avtal till Infrastrukturen för identifiering beslutar
196
SOU 2010:104 |
Bilaga 6 |
varje identitetsutfärdare och attributsutfärdare som genom avtal ansluts till Infrastrukturen för identifiering; jfr 3 § lagen (2011:000) om valfrihet för Svensk
1.46Vid anslutning genom beslut av
Anslutning av
1.47Anslutning av
a)beslut av
b)avtal, efter ansökan av annan än myndighet under regeringen.
1.48
1.49
Aktivering efter beslut eller avtal om anslutning
1.50Identitetsutfärdares, attributsutfärdares och
197
Bilaga 6 |
SOU 2010:104 |
6.Utfärdande, m.m.
Tillförlitliga regler och rutiner
1.51Utfärdare av Svensk
Svensk
Ansökan, m.m.
1.52Identitetsutfärdare som är anslutna till Infrastrukturen för Svensk
1.53Om en sökande har legitimerat sig eller skrivit under enligt det förenklade förfarande som anges i 1.60 får en sådan underskrift eller legitimering för uppgiftslämnande ersätta ett förfarande enligt 1.52.
1.54Vid ansökan om en
1.55En ansökan om Svensk
1.56Utfärdaren ska i avtal med den som ansöker om Svensk e-
198
SOU 2010:104 |
Bilaga 6 |
legitimation som villkor föreskriva att användaren ska skydda sin
Information om villkor
1.57Utfärdaren ska informera den som ansöker om Svensk e- legitimation om avtalsvillkorens innehåll. En utfärdare som vill införa villkor som inte finns med i ansöknings- handlingen ska tydligt hänvisa till villkoren och utforma rutinerna så att villkoren kommer sökanden tillhanda innan denne undertecknar eller annars ingår avtal med utfärdaren.
1.58Utfärdaren ska tillhandahålla uppgifter om avtal, villkor, policies, utfärdardeklarationer, regelverk och anknytande uppgifter till anslutna användare, arbets- och uppdrags- givare,
Kontroll av sökandens identitet
1.59Utfärdare av Svensk
1.60Om en sökande redan har identifierats vid ett personligt besök för att få använda bank på Internet eller någon liknande tjänst för ekonomiskt eller rättsligt betydelsefulla mellanhavanden får utfärdaren identifiera den sökande genom denna tjänst i stället för enligt 1.59. En sådan för- enklad rutin får dock inte användas om den har spärrats eller om det annars kan antas att den inte fungerar på ett tillförlitligt sätt.
199
Bilaga 6 |
SOU 2010:104 |
Kontroll av uppgifter och utlämnande av Svensk
1.61En utfärdare av en
1)kontrollera att ansökan om
2)tillhandahålla
1.62Om en utfärdare tillhandahåller en
1)i separata försändelser och lämnas ut till sökanden vid personligt besök hos utfärdaren eller ett ombud för utfärdaren, eller
2)genom ett elektroniskt förfarande som är förenligt med 6.3 eller 6.4 om detta kan förenas med den tillämpliga tillits- nivån.
Spärrtjänst och spärrkontrolltjänst
1.63Utfärdare av Svensk
En myndighet som tillhandahåller en
Särskilda regler för
1.64Bestämmelserna om personliga
200
SOU 2010:104 |
Bilaga 6 |
1.65Identitetsutfärdare som är anslutna till Infrastrukturen för Svensk
1.66En
1.67Om en arbets- eller uppdragsgivare eller en behörig företrädare för denne har legitimerat sig eller skrivit under enligt förenklade förfarande som anges i 1.60 får en sådan underskrift eller legitimering för uppgiftslämnande ersätta ett förfarande enligt 1.52.
1.68Den arbets- eller uppdragsgivare som ansöker om en e- tjänstelegitimation
a)bestämmer hur
b)får spärra
1.69[Närmare regler om uppgiftslämnande vid ansökan och utlämnande,
1.70Utfärdaren får lämna ut en
a)den som har legitimerat sig med en godkänd legitimations-
handling eller på motsvarande sätt [enligt närmare regler på lägre nivå] och visat att han eller hon är behörig att företräda arbets- eller uppdragsgivaren, eller
b)den användare för vilken
201
Bilaga 6 |
SOU 2010:104 |
Vid utelämnandet får förenklade rutiner enligt 1.67 användas.
Identitets- och attributsintyg
1.71Den som utfärdar identitets- eller attributsintyg inom Infrastrukturen för identifiering ska innan ett intyg lämnas ha utfört kontroller i enlighet med kraven för den aktuella tillitsnivån, vilka anges i tillitsramverket (bilaga 9).
1.72Utfärdare och
Utfärdares ansvar
1.73En utfärdare av Svensk
1.74En identitetsutfärdares ansvar gentemot en
1.75Eftersom myndigheter under regeringen utgör samma juridiska person och sådana myndigheter ansluts genom beslut av
202
SOU 2010:104 |
Bilaga 6 |
1.76Attributsutfärdares ansvar för utfärdade intyg följer allmänna regler eftersom Infrastrukturen för Svensk e- legitimation endast tillhandahåller funktioner för att förmedla sådana intyg med stöd av de register och tran- sportmekanismer som hör till Infrastrukturen för identifiering.
1.77[Genom denna reglering kan rättsliga skillnader när användare betalar för legitimationen – öppet system – respektive
Utformning av tekniska hjälpmedel
1.78Om identitetsutfärdaren förser användaren med tekniska hjälpmedel för att hantera
1)visar upp en traditionell legitimationshandling för identitetskontroll, eller
2)fattar en penna och skriver under.
1.79Tekniska hjälpmedel eller tjänster för att granska utkast inför underskrift eller att presentera underskrivna eller stämplade handlingar ska utformas så att de möjliggör
1)en tydlig och begriplig presentation av uppgifterna, och
2)att läsaren av utkast eller färdiga handlingar
b)tydligt kan se all text och om texten är undertecknad respektive stämplad, samt
c)inte ges skäl att förväxla
i. den text som granskas, för att undertecknas eller stämplas, med annan text,
ii.den underskrivna eller stämplade texten med oskyddad text eller med text som hör till andra dokument, eller
iii.elektroniskt bestyrkta handlingar med andra handlingar.
203
Bilaga 6 |
SOU 2010:104 |
Motsvarande krav gäller för hjälpmedel eller tjänster som identitets- och attribututfärdare tillhandahåller för att presentera identitets- och attributsintyg.
1.80Om ett tekniskt hjälpmedel för granskning av handlingar stöder hantering av olika versioner eller liknande får underskrifter och stämplar inte presenteras så att det finns risk för att läsaren missförstår vad som har undertecknats eller stämplats.
Bevarande av handlingar
1.81Utfärdare av Svensk
1) ansökningshandlingar och handlingar som rör ut- lämnande, mottagande eller spärr av
2)avtal, policydokument och utfärdardeklarationer, och
3)övriga handlingar och uppgifter som kan behövas för att kontrollera legitimering och elektroniska underskrifter, identifiera personer och hantera insynsskydd.
1.82Handlingarna ska bevaras och skyddas under den tid som behövs för att tillgodose ändamålen med elektroniska underskrifter m.m. Tiden för bevarande ska inte understiga tio år och material ska kunna tas fram i läsbar form under hela denna tid. Myndigheter och andra organ för vilka arkivlagen (1990:782) gäller får gallra allmänna handlingar endast om åtgärden har stöd i lag eller annan författning eller beslut om gallring.
1.83Identitetsutfärdare ska lämna ut information om enskilda händelser på begäran av den som behöver kontrollera en legitimering eller en underskrift. Arkiverat material får emellertid inte lämnas ut i strid mot lag eller författning eller avtal med innehavaren av
1.84En utfärdare av Svensk
204
SOU 2010:104 |
Bilaga 6 |
sin verksamhet ska informera sina användare och berörda
1.85
7.Regler för användare, m.m.
Användare av Svensk
Ansökan och avtalsvillkor
1.86Användare ska ansöka om
1.87Om en sökande redan har identifierats vid ett personligt besök för att få använda bank på Internet eller någon liknande tjänst för ekonomiskt eller rättsligt betydelsefulla mellanhavanden får han eller hon använda elektroniska rutiner enligt 1.60.
1.88Innan ansökan sker ska den sökande ha beretts tillfälle att ta del av och spara utfärdarens villkor och information enligt 1.57 samt tydligt ange om han eller hon till någon del inte godtar villkoren. En innehavares ansvar mot utfärdaren och mot förlitande parter vid fel eller försummelse bör regleras i villkoren.
Identifiering
1.89En användare som ansöker om
205
Bilaga 6 |
SOU 2010:104 |
identifiera den sökande enligt 1.59 och 1.60.
Mottagande och användning av
1.90Användaren ska behandla sin
1.91En användare som väljer sin personliga kod får inte använda en sådan som är enkel att lista ut.
1.92En användare ska bruka de tekniska hjälpmedel som identitetsutfärdaren tillhandahåller enligt 1.78 – 1.80 så att legitimering och elektronisk underskrift sker med tillförlitliga rutiner.
Skydd för
1.93Användaren ska skydda sin
1)skydda datorer och annan utrustning där
2)välja en personlig kod som inte är lätt att lista ut, och
3)hålla den personliga koden hemlig och inte anteckna koden på ett sätt eller på en plats som gör att den kan kopplas till
Anmälan om spärr
1.94En användare av en
206
SOU 2010:104 |
Bilaga 6 |
Användare av
1.95En användare av en
Arbets- eller uppdragsgivare som sökande m.m.
1.96En arbets- eller uppdragsgivare som anskaffar
1.97En arbets- eller uppdragstagare ska göra en spärranmälan snarast efter att denne upptäckt att det finns anledning att spärra en
8.Regler för
1.98
1.99
1.100 Om det i det enskilda fallet finns skäl att kontrollera den autentisering som identitetsutfärdaren utfört får myndig- heten begära ytterligare uppgifter från identitetsutfärdaren eller begära att användaren ska bekräfta uppgiften om identitet eller den elektroniskt underskrivna handlingen.
207
Bilaga 6 |
SOU 2010:104 |
Av 10 § tredje stycket förvaltningslagen (1986:223), 44 § tredje stycket förvaltningsprocesslagen (1971:291) och 33 kap. 3 § tredje stycket rättegångsbalken följer att behöriga handläggare från fall till fall får avgöra om en elektroniskt undertecknad eller stämplad handling ska godtas eller om en bekräftelse ska inhämtas.
1.101 Kontroller som
Interna regler för
1.102 En
Underskrifter och stämplar
1.103 En elektronisk underskrift ska presenteras i anknytning till den text som skrivs under, så att underskriftens innebörd framgår av sammanhanget, på samma sätt som vid under- skrift på traditionellt sätt. Behövs skriftlig information om denna innebörd, t.ex. en angivelse av en fullständig firma vid firmateckning enligt 26 § firmalagen (1974:156), bör detta anges i den text som undertecknas.
1.104 Presenteras flera underskrifter på samma sida eller presenteras en underskrift så att det finns risk för att läsaren missförstår vilken text som undertecknats bör åtgärder vidtas för att förenkla och förtydliga läsarens tolkning av det som presenteras. Detsamma gäller om både skyddad och oskyddad text presenteras tillsammans.
208
SOU 2010:104 |
Bilaga 6 |
Rutiner för att ta emot, expediera, presentera, hantera och långtidslagra elektroniska handlingar
1.105 En myndighet som tar emot eller ställer ut undertecknade elektroniska handlingar ska säkerställa att de krav som de kryptografiska rutinerna för med sig beaktas från arkiv- synpunkt. I Riksarkivets föreskrifter finns bestämmelser om framställning, hantering, förvaring och skydd av allmänna handlingar.
1.106 Myndigheter bör tydligt anvisa de mottagningsställen där myndigheten tar emot elektroniska handlingar. [Detta behövs dock inte inom ramen för t.ex. webbformulär och webbtjänster där adresseringen till mottagande myndighet sker automatiskt.]
1.107 Kvittenser bör utfärdas. Kvittenser och andra bekräftelser från myndigheter bör utformas så att det inte finns risk för att mottagaren vilseleds om vad som har undertecknats eller stämplats.
9.Persondataskydd
1.108 Utfärdare av Svensk
209
Bilaga 6 |
SOU 2010:104 |
10.Bevarande, säkerhet och tillsyn
1.109
1)upprätta en informationssäkerhetspolicy och andra styrande dokument som behövs för informations- säkerheten,
2)utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet,
3)klassificera sin information med utgångspunkt i krav på sekretess, riktighet, tillgänglighet och spårbarhet,
4)utifrån risk- och sårbarhetsanalyser och inträffade incidenter avgöra hur risker ska hanteras, samt besluta om åtgärder för aktörens informationssäkerhet,
5)dokumentera vidtagna granskningar och säkerhetsåtgärder av större betydelse.
1.110 Ledningen inom en
1.111
1)Ledningssystem för informationssäkerhet – Krav
2)Riktlinjer för styrning av informationssäkerhet
1.112 Revision och rapporteringsskyldighet1.
1 Utredningen arbetar vidare med att ta fram ett förslag till slutrapporten.
210
Bilaga 7
Förslag till riktlinjer för federationsoperatörer
1 Tillämplighet
Dessa förslag till riktlinjer för federationsoperatörer är tillämpliga för aktörer som avser tillhandahålla en identitetsfederation under
2 Inledning
En identitetsfederation består av ett antal leverantörer av identitetstjänster (identitetsutfärdare) och förlitande parter (e- tjänsteleverantörer) som samverkar inom ramen för vissa regler, standarder och tekniska lösningar så att identitetsutfärdare kan tillhandahålla trovärdig identitetsinformation till förlitande parter.
Medan en identitetsfederation med några få aktörer kan bygga på att alla deltagare ingår avtal med alla andra som deltar, måste en stor identitetsfederation styras av en federationsoperatör som kan samordna viktiga standarder, tillhandahålla grundläggande tjänster till alla deltagare i federationen och sluta avtal så att avtalsfloran begränsas.
I detta dokument ges förslag till riktlinjer för en federations- operatör som ska svara för en identitetsfederation för
Federationsoperatören upprätthåller ett ramverk för tillit som deltagarna i federationen är beroende av och ska
•bestämma regler och tekniska standarder för den som är ansluten till federationen, bl.a. för hur
211
Bilaga 7 |
SOU 2010:104 |
-
-användares personliga integritet ska skyddas,
•tillhandahålla regler för certifiering av deltagare i federationen, och
•samla in och tillhandahålla uppgifter som beskriver deltagares tjänster och tillhandahålla information och nycklar för säkert informationsutbyte och identifiering av federationens medlemmar (s.k. metadata).
Utöver dessa grundläggande uppgifter för att skapa tillit till federationen ska federationsoperatören
•tillhandahålla stöd för att lösa frågor när aktörerna inte är eniga (tvistlösning) och att testa överensstämmelse med tekniska normer och förmågan att samverka (s.k. interoperabilitet),
•upphandla och sluta avtal om vissa tjänster som ska vara tillgängliga för anslutna till Svensk
För att federationsoperatören ska kunna utföra alla dessa uppgifter på ett effektivt sätt måste denna ha resurser, personal och förmåga att ingå de avtal och bestämma de regler för identitetsfederationen som faller inom ramen för federationsoperatörens kompetens.
3 Dokumentation och processer
Identitetsfederationen ska drivas i enlighet med bestämda regler och standarder för anslutning och användning. Hit hör bl.a.
•ett regelverk för identitetsfederationen som ska
-definiera klasser av anslutna till federationen, såsom identitetsutfärdare,
-ange operativa rättigheter och skyldigheter för anslutna,
-reglera deltagande i och ansvar för federationen,
-bestämma en process för hur säkerhetsincidenter ska hanteras inom federationen,
•dokument som anger krav eller ger vägledning för anslutna till federationen beträffande de tekniska lösningar och de förfaranden och processer som anslutna ska använda för att delta i federationen; bl.a.
212
SOU 2010:104 |
Bilaga 7 |
•ett tillitsramverk som anger
-processer för att kontrollera användares identitet;
-metoder och faser genom olika stadier av e- legitimationers livscykel för förvaring och skydd av dem,
•en tvistlösningsmekanism för anslutna till federationen,
•krav på informationssäkerhet i anslutna
•tekniska specifikationer av
-protokoll som ska stödjas vid informationsutbyte inom federationen,
-attribut som kan ingå i identitets- eller attributsintyg;
-metadata och åtkomst till sådana,
-anvisningstjänster för att finna tjänster inom federationen,
•regler och förfaranden för att kontrollera att den som är ansluten till federationen följer de regler, processer och specifikationer som gäller för anslutna,
•avtal för anslutna till Svensk
4 Ansökan om deltagande
Federationsoperatören ska verka inom ramen för regler för att definiera och hantera ansökningar om deltagande i federationen.
5 Tillitsskapande åtgärder
5.1 Tillitsramverk och integritet
Ett grundläggande del i identitetsfederationen är att utarbeta regelverk och tekniska och operativa krav så att anslutna har förtroende för federationen. För identitetsutfärdare innefattar detta krav på identifiering av användare, utfärdande av e- legitimationer,
213
Bilaga 7 |
SOU 2010:104 |
5.2 Samordning av regelverk och riktlinjer
Om en identitetsutfärdare som ska anslutas till identitets- federationen redan har fastställda regler för identitetshantering, kan det dessa regler och hur de förhåller sig till reglerna för federationen kartläggas. Federationsoperatören ska i samverkan med identitetsutfärdaren svara för denna kartläggning.
5.3 Teknisk interoperabilitet och testning
Alla autentiseringsmekanismer och protokoll som används inom identitetsfederationen bör testas för att se till att de fungerar bland dem som är anslutna. Då protokoll som används för att förmedla information om identitet och tillitsnivå är avgörande för federationens funktion bör federationsoperatören definiera hur dessa protokoll ska testas för driftskompatibilitet, inklusive tester för
6 Förhandlingar om avtal
Avtal om deltagande i identitetsfederationen ska ingås mellan federationsoperatören och de som ansluts. Dessa avtal ska vara likvärdiga för alla anslutna.
214
Bilaga 8
Behörighetshantering med stöd av attribut
215
Bilaga 8 |
SOU 2010:104 |
1.1Funktioner med olika användningsområden
Till den föreslagna Infrastrukturen för identifiering hör också hanteringen av attribut. Medan en beskrivning av Identitetsintyg och hur de används är relativt enkel att göra, i vart fall på ett övergripande plan, blir variationsmöjligheterna många så snart en samordnad infrastruktur för hantering av attribut ska övervägas för hela den offentliga sektorn. Även små myndigheter behöver smidigt kunna integrera, använda och administrera inte bara rena Identitetsintyg utan även intyg med attribut. Härvid uppkommer emellertid en spännvidd i juridiska och tekniska krav som saknar motsvarighet på området för identifiering och som inte kunnat genomlysas i erforderlig omfattning inom ramen för utredningens begränsade uppdrag.
I det följande ska dessa varierande förutsättningar belysas med exempel från Bolagsverkets hantering av registerutdrag och hälso- och sjukvårdens behov av attribut.
1.2Juridisk behörighet – en granskning i flera led
En juridisk person kan inte agera själv – det krävs att organ såsom styrelse, verkställande direktör, befullmäktigade ombud eller liknande utför rättshandlingar för den juridiska personens räkning. Korrekta bedömningar förutsätter en genomgång i flera led – en slags process – som är allmänt vedertagen i pappersmiljö. Den består normalt av följande led.
1. Vilken fysisk person har företagit rättshandlingen?
Här används underskrifter, legitimations- handlingar, m.m. för att knyta en fysisk person till rättshandlingen.
2. Har personen agerat för egen eller för annans räkning?
I vems namn har rättshandlingen företagits? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan.
3. Är den som agerat som företrädare för annan behörig att företa rättshandlingen?
Här används registreringsbevis (utvisande t.ex. firmateckningsrätt), fullmakter o.l.
En fullständig granskning av ovan nämnda omständigheter i varje enskilt fall blir tungrodd. I traditionell miljö har därför förenklade förfaranden vuxit fram, t.ex. att för vissa mindre transaktioner
216
SOU 2010:104 |
Bilaga 8 |
godta en persons uttryckliga eller underförstådda påstående om behörighet.
Med en
1.3Åtkomstkontroll och inre sekretess – gränsdragningar
Liknande frågor om roller och egenskaper uppkommer inom ett organ. Varje myndighet och varje företag av någon storlek styr numera åtkomsten till och rättigheter i egna informationssystem genom s.k. behörighetskontrollsystem (BKS). Föreskrifter om sådana begränsningar – i vissa sammanhang kallad inre sekretess – finns i patientdatalagen (2008:355; PDL), för vårdgivare. Här är det avgörande om en person är t.ex. läkare eller sjuksköterska och om personen deltar i vården av en viss patient eller av annat skäl behöver uppgifter om patienten för sitt arbete inom hälso- och sjukvården.1 Begreppet ”behörighet” används emellertid även i det sammanhanget och enligt 4 kap. 2 § PDL ska en vårdgivare bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Härvid föreskrivs att behörigheten ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
När sådan åtkomstkontroll införs blir det alltså inte fråga om kontroll av om en person i juridisk mening är behörig att före- trädare ett rättssubjekt (t.ex. ett annat aktiebolag eller en annan myndighet). Det blir istället fråga om att begränsa åtkomsten till uppgifter och resurser i informationssystem inom en och samma
1 Enligt 4 kap. 1 § PDL får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
217
Bilaga 8 |
SOU 2010:104 |
vårdgivare.2 Samtidigt aktualiseras emellertid en slags behörighets- kontroll, dels genom att ett landsting eller en kommun som be- driver hälso- och sjukvård genom flera myndigheter får ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun (5 kap. 5 § PDL), dels genom att en vårdgivare under vissa förutsättningar får ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare (6 kap. 1 § PDL). Här aktualiseras alltså två olika typer av ”direktåtkomst” – den ena inom en vårdgivare, den andra mellan vårdgivare. För den senare typen av direktåtkomst krävs enligt huvudregeln att patienten lämnat sitt samtycke, att uppgifterna rör en patient som det finns en aktuell patientrelation med och att åtkomsten kan antas ha betydelse för att förebygga, utreda eller be- handla sjukdomar och skador hos patienten inom hälso- och sjukvården.
Skillnaden mellan dessa olika typer av kontroller är alltså betydande. Endast några få personer ges juridisk behörighet att företräda en juridisk person medan åtkomstkontroller införs för alla anställda och uppdragstagare som ska ges åtkomst till informa- tionssystem. En annan skillnad är att juridisk behörighet vanligtvis bestäms grovmaskigt; jfr att styrelsen enligt 8 kap. 39 § aktie- bolagslagen (2005:551; ABL) får föreskriva att rätten att företräda bolaget och teckna dess firma får utövas endast av två eller flera personer i förening medan andra inskränkningar i en firma- tecknares rätt att teckna bolagets firma inte får registreras. Denna grova avgränsning bör ställas mot åtkomstkontroll till informa- tionssystem där användarnas rätt till åtkomst vanligtvis ges en finmaskig utformning.
Till detta kommer regleringen i patientdatalagen som innehåller en blandning av krav på åtkomstkontroll inom respektive mellan myndigheter och andra organ och krav på en slags juridisk behörig- hetskontroll mellan olika organ. Det finns risk för att dessa variationer i reglering och i hantering av åtkomst- respektive behör- ighetskontroller missförstås när tekniska och administrativa lösningar ska utarbetas för bl.a. Identitets- och Attributsintyg.
System för åtkomstkontroll ger alltså – utanför hälso- och sjukvårdsområdet – endast ett inre skydd som, till skillnad från juridisk behörighetskontroll, inte visar om en person äger rätt att
2 Här finns också föreskrifter om att patienter får motsätta sig att personal vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare gör personuppgifter som dokumenterats för vårdändamål tillgängliga genom elektronisk åtkomst (4 kap. 4 § PDL).
218
SOU 2010:104 |
Bilaga 8 |
företräda annan vid rättshandlingar. Attributsintyg bör primärt ut- formas med tanke på juridiska behörighetskontroller. Det finns emellertid inget hinder mot att dessa Identitets- och Attributsintyg
– när det visar sig lämpligt – används även inom en och samma juridiska person, t.ex. en vårdgivare, för att styra anställdas och uppdragstagares åtkomst utifrån relevanta attribut. Dessa an- vändningsområden får emellertid inte blandas samman.
Dessa grundläggande skillnader kan därmed beskrivas så att det
•vid juridisk behörighetskontroll ska granskas om en person har sådan rätt att agera (t.ex. är ställföreträdare eller fullmäktig för ett aktiebolag) att den som företräds (i detta exempel aktie- bolaget) blir juridiskt bunden, t.ex. av avtal eller andra åtaganden, men
•vid åtkomstkontroll ska granskas om personen har rätt att få till- gång till uppgifter eller andra resurser i informationssystem, och
•inom hälso- och sjukvården utförs kombinationer av kontroller för vilka en omfattande särreglering införts.
Utvecklingen av en Infrastruktur för Svensk
1.4Elektroniska registerutdrag
Juridiska behörighetskontroller bör inom Infrastrukturen för iden- tifiering kunna hanteras så att en Användare först legitimerar sig med
219
Bilaga 8 |
SOU 2010:104 |
som den identifierade personen påstår sig företräda och att det är Bolagsverket som ska lämna ett utdrag ur aktiebolagsregistret.
Lösningen kan utformas så att Bolagsverket ställer ut Attributs- intyg med registerutdrag, som skyddas mot förfalskningar och andra angrepp med stöd av de infrastrukturcertifikat som tillgängliggörs i utfärdar- och
En myndighet som behöver göra många kontroller av juridisk behörighet, t.ex. Skatteverket, bör införa en automatiserad funktion för juridisk behörighetskontroll med stöd av Attributs- intyg. Ansvars- och riskfördelningen kan bli densamma som idag genom att Bolagsverket endast lämnar registerutdrag.
En lösning för automatiserade kontroller bör förenas med an- passningar för mindre myndigheter, antingen så att intyg kan granskas och bedöms manuellt eller så att de ges ett förenklat innehåll, t.ex. att en kod lämnas utifrån en klassificering som Bolagsverket stöder så att maskinella kontroller kan förenklas. En viss siffra i ett fält kan t.ex. visa att en individ (angiven med person- nummer) är behörig att ensam teckna bolagets (angivet med organisationsnummer) firma.
220
SOU 2010:104 |
Bilaga 8 |
För att inte riskera att rubba dagens ansvarsfördelning mellan Bolagsverket och den som litar på ett registerutdrag (här
En sådan hantering bör kunna utformas så att den blir tekniskt enkel att införa och använda. Den torde inte heller förutsätta några ändringar i lag eller förordning eftersom den endast innebär att Bolagsverket lämnar utdrag ur sina register. Utmaningen blir istället att finna en samsyn kring detaljer så att lösningen kan införas på ett samordnat och enhetligt sätt.
1.5Behovet av kontroll – olika nivåer
1.5.1Riskfördelning enligt lag
Att en fysisk person i juridisk mening är behörig att företräda annan innebär som framgått att huvudmannen, t.ex. ett aktiebolag, blir direkt bunden av en rättshandling som företrädaren företar. Det vilar emellertid på förlitande part att kontrollera att behörighet verkligen föreligger. Förlitande part står normalt också risken om det godtas att en person är behörig men detta senare visar sig felaktigt. Här bör nämnas att det av regler i bl.a.
•skuldebrevslagen (SkbrL), framgår att motparten står risken om
-uppgiven företrädare för en part
inte är den han eller hon ger sig ut för att vara (kan kontrolleras med
saknar behörighet att företräda uppgiven huvudman (kan kontrolleras med registreringsbevis),
-urkunder, t.ex. skriftliga avtal, registreringsbevis eller fullmakter är falska (kan kontrolleras med
3 Enligt 17 § skuldebrevslagen (SkbrL) får förfalskning och bristande behörighet åberopas även mot den som är i god tro och i detta hänseende ger SkbrL uttryck för en allmän förmögenhetsrättslig princip som tillämpas analogt även utanför skuldebrevsrätten. Visserligen avser denna bestämmelse löpande skuldebrev men i lagmotiven har det, med avseende på enkla skuldebrev, uttalats att en gäldenär som regel har att på egen risk pröva
221
Bilaga 8 |
SOU 2010:104 |
•rättegångsbalken (RB), framgår att resning kan beviljas sedan dom i tvistemål eller brottmål vunnit laga kraft, om en falsk skriftlig handling har åberopats till bevis och handlingen kan antas ha inverkat på utgången och att detsamma torde gälla om talan förts för en juridisk persons räkning där dennes anspråk t.ex. eftergivits helt utan behörighet att agera för denne,4
•aktiebolagslagen och aktiebolagsförordningen, framgår att register ska föras av Bolagsverket, att verket ska lämna utdrag men att verkets ansvar i princip är begränsat till att lämnade utdrag som rätt återger innehållet i aktiebolagsregistret – den som mottar och brukar utdrag avgör för vilka kontroller utdragen ska användas, hur kontrollerna ska utföras och står risken om behörighet felaktigt antas föreligga.
Författningsregleringen innebär alltså något förenklat att det är E- tjänsteleverantören (förlitande part) som står risken om det finns brister i behörighetskontrollerna.
1.5.2Ett balanserat risktagande
Vissa ärenden rör känsliga uppgifter eller stora värden. I sådana fall görs vanligtvis en fullständig kontroll av juridisk behörighet, där det på ett tillförlitligt sätt granskas både vem som agerat och om denne var behörig att företa rättshandlingen för angiven huvudmans räkning. I praktiken gör emellertid förlitande parter riskbedöm- ningar utifrån vilka de utformar sina kontroller. Sådana bedömningar kan i många fall leda till att ingen kontroll görs av t.ex. registreringsbevis eller fullmakter. Förlitande part utgår från att den som utger sig för att vara behörig företrädare verkligen är det. Skulle påståendet om behörighet vara felaktigt kan den som utgett sig för att ha behörighet bli skadeståndsskyldig mot förlitande part.
Som exempel på uttalanden rörande behovet av balanserade risk- bedömningar kan nämnas att justitierådet Henrik Hessler i en äldre monografi ”Obehöriga förfaranden med värdepapper” uttalat att praktiskt taget alla transaktioner enligt sakens natur innebär att aktörerna måste ta vissa risker för att allt inte har gått rätt till och att det knappast är möjligt att helt eliminera dessa risker; ”i allt fall
huruvida den med vilken han har att skaffa är rätt borgenär eller behörig att på dennes vägnar uppbära betalning.
4 Se 58 kap. 1 och 2 §§ RB.
222
SOU 2010:104 |
Bilaga 8 |
skulle rigorösa försök i denna riktning sannolikt resultera i att verksamheten blev orimligt tungrodd”. Hessler tillade bl.a. följande, som torde anses vara en självklarhet i pappersmiljö:
I åtskilliga situationer kan dock (banken) blott genom utvisande av skälig aktsamhet och sålunda utan någon krävande försiktighetsapparat skydda sig mot förlustrisk. Ett klarläggande så långt möjligt av i vilka lägen en sådan aktsamhet är på sin plats samt kanske fram för allt vad den bör gå ut på och hur långt den behöver sträckas torde därför vara av praktiskt värde till underlättande av verksamhetens bedrivande; det förekommer väl icke blott att erforderlig aktsamhet eftersätts utan ej sällan också att man i brist på säker kännedom om rättsläget drivs att iakttaga en större försiktighet än nöden i själva verket kräver, vilket blir en onödig belastning på rörelsen.
Detta uttalande passar väl in på dagens hantering av kontroller i elektronisk miljö.
Myndigheter kan emellertid i många fall – i vart fall initialt – förväntas införa
Begränsningar av behörighetskontroller godtas också enligt lag. Varken i förvaltningslagen (1986:223) eller lagen (1996:242) om domstolsärenden föreskrivs att en myndighet som handlägger ett ärende måste begära in och granska registreringsbevis eller fullmakt för ett ombud.6 Däremot får myndigheten begära in behörig- hetshandlingar om myndigheten finner skäl för en sådan kontroll.
5En del i detta kan antas vara att automatiseringen medför att det saknas motsvarighet till den sociala kontroll som finns i pappersmiljö, så att handläggare reagerar om något verkar misstänkt. Vidare tar sig informationssäkerhetsarbetet ofta sådana uttryck att det inte görs några jämförelser med motsvarande riskbedömningar i pappersmiljö.
6Motsatsen gäller emellertid i tvistemål och brottmål enligt rättegångsbalken.
223
Bilaga 8 |
SOU 2010:104 |
Visserligen innebär det ett risktagande när en myndighet använder sig av möjligheten att begränsa behörighetskontrollerna. Det har emellertid i praktiken visat sig fungera i pappersmiljö. På motsvar- ande sätt godtar företag ofta beställningar av varor per telefon, telefax o.l. – utan någon identitets- eller behörighetskontroll. Samma synsätt bör kunna tillämpas för
I traditionell miljö är det som framgått vanligt att identitets- och behörighetskontroller inte görs. För dessa fall skulle ett förenklat förfarande för
•om personen agerar för egen eller för annans räkning, och
•för vem ett agerande för annans räkning sker.
I andra sammanhang kan en fullständig behörighetskontroll framstå som självklar, jfr de kontroller som görs av en ansökan om lagfart, i rättegång eller när betalning beordras av betydande belopp från ett konto i en bank. Vanligtvis finns inga särskilda regler om vilken dokumentation av behörighet som ska finnas och vilka kontroller som ska göra.7 Det blir då upp till
7 Jfr dock rättegångsbalkens krav på bl.a. registreringsbevis och fullmakter och den redo- visade särregleringen i patientdatalagen.
224
SOU 2010:104 |
Bilaga 8 |
1.6Processen för granskning och samverkan
När juridisk behörighet ska kontrolleras i elektronisk miljö bör hanteringen kunna förenklas med stöd av den föreslagna Infra- strukturen för identifiering. Denna hantering kan, som en följd av den automatisering som sker i
1.bedöma om registreringsbevis eller liknande behövs,
2.beställa registreringsbevis,
3.sända en beställning till rätt aktör,
4.motta beställningen,
5.se vilket intyg som ska lämnas enligt beställningen,
6.upprätta intyg,
7.sända intyget till rätt aktör,
8.motta intyget,
9.kontrollera att intyget är äkta, och
10.bedöma om intygets innehåll ska anses visa att behörighet föreligger.
När en person i traditionell miljö utger sig för att företräda att aktiebolag används vanligtvis registreringsbevis från Bolagsverket för en manuell granskning och bedömning. Bolagsverket tillhanda- håller emellertid redan idag tjänster där elektroniska bevis med utdrag ur aktiebolagsregistret lämnas i
Skatteverket använder sig redan av denna elektroniska tjänst som fungerar som en del i den process som krävs för en helt automatiserad hantering; jfr processtegen i följande figur.
225
Bilaga 8 |
SOU 2010:104 |
Skatteverket har också utformat en egen automatiserad procedur för att avgöra om uppgifterna i ett
Utformning och användning av vissa processteg i figuren bestäms i princip av respektive
Eftersom den föreslagna Infrastrukturen för identifiering avses användas, för dessa beställningar och svar, berörs även
226
SOU 2010:104 |
Bilaga 8 |
identifiering och som ska kunna beställa, motta och använda Attributsintyg.
En del i denna samverkan är att utarbeta samordnade lösningar som är tillräckligt enkla och avgränsade för att kunna införas på bred front, så att även mindre aktörer, inom offentlig sektor kan nyttja dem. Målet bör vara en fullständig automatisering. Här behöver emellertid beaktas att myndigheter i många fall – i vart fall initialt – kan antas införa
Här behöver också beaktas att kontroller av juridisk behörighet kan bli komplicerade i enskilda fall. Behörighetsfrågan behöver då – om en fullständig kontroll ska göras – bedömas manuellt. I undantagsfall kan rättsutredningar och bedömningar av expertis behövas. Sådana komplicerade juridiska bedömningar kan inte automatiseras eftersom de inte kan styras av på förhand program- merade lösningar.
Väljer den förlitande parten att ta en medveten risk kan auto- matisering dock ske även i sådana fall. Tolkningssvårigheterna uppdagas då inte förrän i ett senare skede när transaktionen redan utförts. Ett skäl för att godta sådana förenklingar kan vara ett en uppgiven företrädare har ett strängt personligt skadeståndsansvar gentemot den förlitande parten: Enkelt uttryckt, blir organisa- tionen inte bunden av beställningen kan användaren av
Den infrastruktur som
227
Bilaga 8 |
SOU 2010:104 |
kontroller för vilka särskild reglering har införts i patientdatalagen m.fl. författningar.
1.7En samordnad hantering av Attributsintyg
1.7.1Bolagsverkets nuvarande tjänster
Bolagsverket har dels en myndighetsutövande funktion, till vilken hör att registrera företag (bl.a. aktiebolag som här används som exempel), dels en servicefunktion som innefattar att tillhandahålla företagsinformation från verkets register (bl.a. Aktiebolags- registret). Informationen tillhandahålls på flera olika sätt till förlitande parter, som t.ex. kan beställa ett traditionellt regi- streringsbevis på papper och få det översänt med vanlig post.8 Den som behöver information om företag kan emellertid också söka fram samma uppgifter i verkets Näringslivsregister och ladda ned e- registreringsbevis i ett format som var och en kan läsa. Det är också möjligt att beställa eller ladda ned ett fullständigt eller tids- begränsat historiskt bevis där alla ändringar, respektive de ändringar som skett under viss tid redovisas.
Den som inte nöjer sig med att få reda på vilka uppgifter som redan har registrerats i Aktiebolagsregistret kan beställa diariebevis eller ärendebevis, där det i det första fallet framgår om en handling som rör ett visst bolag har kommit in och i det andra fallet dessutom framgår vilket slags ärende som inkommen handling avser. Till detta kommer Bolagsverkets särskilda beställnings- verksamhet där uppgifter lämnas ur register förpackade i enlighet med en beställares önskemål.
1.7.2
Leveranser i elektronisk miljö
Bolagsverket har även infört tjänster där s.k.
8 Beviset innehåller bl.a. företagets namn, registreringsdatum, verksamhet, firmatecknare, styrelse, företrädare samt adressen till företaget och till styrelsen.
228
SOU 2010:104 |
Bilaga 8 |
nummer som sökbegrepp. Den som mottar
Dessa tjänster tar liksom de som beskrivits i avsnitt 1.6.1 sin ut- gångspunkt i det aktuella aktiebolaget. Bolagets organisations- nummer används som sökbegrepp.
Visserligen tillhandahåller verket också bevis om funktioner som tar sin utgångspunkt i en viss individ och visar vilka uppdrag denne har i olika företag eller föreningar. Dessa bevis utvisar emellertid inte i vilken mån individen är behörig firmatecknare i dessa företag och föreningar.
Mottagarens hantering
Den som beställt och mottagit
Materialet har visserligen försetts med koder, avsedda att förenkla en automatisering, men komplexiteten blir betydande och det behövs juridisk kompetens för att kravställa funktioner för kontroller. Det har visat sig svårt för
Bolagsverket ska leverera utdrag – inte tolka innehållet
Till bakgrunden vid Bolagsverkets utveckling av dessa lösningar hör att verket inom ramen för sin servicefunktion endast ska lämna uppgifter ur registret – registerutdrag. Bolagsverket ska naturligtvis inte göra tolkningar av innehållet åt förlitande parter.
229
Bilaga 8 |
SOU 2010:104 |
den som använder
I praktiken synes denna närmast självklara utgångspunkt emellertid ha lett till en alltför begränsad syn på vad som är ett registerutdrag till skillnad från en tolkning av registrets innehåll. Av regleringen i lag och förordning framgår nämligen endast följande. Enligt 8 kap. 43 § första stycket 3 ABL ska varje aktiebolag för registrering anmäla av vilka och hur bolagets firma tecknas. I paragrafens andra stycke sägs att anmälan ska innehålla uppgift om bl.a. postadress för de personer som anges i första stycket 3 och de angivna personernas personnummer. På liknande sätt föreskrivs i 1 kap. 3 § aktiebolagsförordningen (2005:559; ABF) att en anmälan för registrering enligt 2 kap. 22 § ABL ska innehålla uppgift om hur bolagets firma tecknas. I 2 kap. 14 § ABF sägs vidare att de uppgifter som avses i 8 kap. 43 § ABL ska antecknas när ett aktiebolag registreras. Cirkeln är därmed sluten och det finns inte några myndighetsföreskrifter på området
Kraven i författning på registreringens utformning går alltså inte längre än att det ska noteras ”av vilka och hur bolagets firma tecknas”. Dessa uppgifter registreras i maskinläsbar form. Varje presentation för vanlig läsning av en människa kräver alltså omvandling av digitala data till text på t.ex. papper eller bildskärm. Redan detta innefattar en tolkning från ett maskinspråk till ett uppfattbart språk. Dessutom görs vissa urval redan idag genom att fullständiga registerutdrag är ovanliga och att de begränsade utdragen innefattar viss sortering.
Även om det inte finns någon knivskarp gräns för samtliga fall mellan vad som utgör en juridisk tolkning av registrets innehåll, till skillnad från ett rent utdrag som begränsats till en delmängd av uppgifter, bör avgränsningar kunna ske så att även en träffsäkert begränsad mängd uppgifter ur t.ex. aktiebolagsregistret kan betraktas som utdrag ur registret; inte en juridisk tolkning.
1.7.3Automatiserade tolkningar
Begränsade, kodade uppgifter i förfinade registerutdrag
Det har visat sig komplicerat för
230
SOU 2010:104 |
Bilaga 8 |
gått betydligt mer information än
Bolagsverket har därför inlett ett utvecklingsarbete för att förenkla hanteringen. Tanken är att Bolagsverket ska kunna lämna förfinade registerutdrag ur t.ex. aktiebolagsregistret, med endast delmängder av de uppgifter som idag lämnas i
Från Bolagsverkets utgångspunkter blir frågan hur förfinade utdrag ska kunna utformas så att de endast blir att anse som registerutdrag – inte som juridiska tolkningar åt förlitande parter av om en viss individ är behörig företrädare för en juridisk person. Sådana intyg avses underlätta och förbättra verkets servicefunktion genom att
Till nämndens uppgifter hör att skapa enighet och samordning mellan dessa aktörer inom ramen för en balanserad lösning. För att en sådan samordning ska kunna etableras måste, som ett första steg, ett förslag till en praktisk lösning tas fram. Här har Bolags- verket redan gjort ett omfattande arbete för att införa koder i sina register, bl.a. i Aktiebolagsregistret. Dessa koder finns redan med i de registerutdrag som lämnas i form av
231
Bilaga 8 |
SOU 2010:104 |
granskningen kopplas till de fält där bolagets ledamöter anges. Eftersom ett utdrag ur Aktiebolagsregistret utgör en ögon- blicksbild av registrets innehåll, även vid användning av XML- paket, kan det knappast hävdas att en angivelse av FAVE och le skulle utgöra ett registerutdrag, medan en användning av FAVE- koden så att den knyts till personnumret för varje ledamot som har ensam firmateckningsrätt skulle utgöra en tolkning. Uppgifterna kan inte missförstås utan utgör endast två olika språkliga sätt att säga samma sak.
Dessa exempel tydliggör den typ av frågor som behöver lösas.
Frågor för att få förfinade registerutdrag
När Bolagsverket funnit lämpliga lösningar rörande innehållet i för- finade registerutdrag behöver det klarläggas hur den standardiserade lösningen (SAML) ska kunna användas för att ställa frågor om juridisk behörighet. Denna standard används vanligtvis för att få svar rörande egenskaper som avser ett enda subjekt. En preliminär genomgång har emellertid visat att de av- gränsningar som krävs till visst företag – är x firmatecknare i bolaget y – bör kunna ske genom att frågan innehåller t.ex. individens personnummer och företagets organisationsnummer.
Det behöver härvid genomlysas hur olika strukturer av svar ska kunna lämnas i Attributsintyg så att kontroller kan göras automatiskt i
Stöd för automatiserade kontroller
För att en sådan lösning ska kunna få spridning behövs också funktioner för att
232
SOU 2010:104 |
Bilaga 8 |
ramen för
Till denna användning hör inte bara
Regleringen
Utvecklingstakten är hög. Det kan därför med kort varsel behövas anpassningar till nya behov eller risker. Till detta kommer att detaljeringsgraden kan bli hög. Regler i lag eller förordning är därför knappast ett lämpligt styrmedel. En reglering genom myn- dighetsföreskrifter kan däremot visa sig önskvärd, särskilt som avtal i många fall inte kan ingås mellan berörda aktörer eftersom de utgör en del av samma juridiska person (myndigheter under rege- ringen). En naturlig utgångspunkt för en fördelning av regelom- rådet finns också genom att
•Bolagsverket meddelar föreskrifter om vilka uppgifter som läm- nas i förfinade registerutdrag och hur dessa uppgifter används (så att verket inte anses ha gjort tolkningar för annan), och
•
En sådan normgivningskompetens för
233
Bilaga 8 |
SOU 2010:104 |
1.8Kommuner
Samma användning i kommuners
Den beskrivna lösningen för juridiska behörighetskontroller har tagits fram med tanke främst på statliga myndigheter som behöver kontrollera om en fysisk person som uppger sig företräda en juridisk person är behörig att företräda denne, t.ex. ett aktiebolag eller någon annan organisation för vilken ett register förs enligt författning där uppgifter finns om firmatecknare.
Samma lösning bör fungera för kommuner som tillhandahåller sådana
Till detta kommer de samordnade lösningar som avses skapas för att även små myndigheter smidig ska kunna integrera, använda och administrera funktioner för Identitets- och Attributsintyg. Detta stöd kan antas bli betydelsefullt även inom kommunal sektor.
Publika register finns inte över behöriga handläggare
Kommunernas användning av registreringsbevis från Bolagsverket för att kontrollera juridisk behörighet att företräda t.ex. aktiebolag får emellertid inte förväxlas med kontroller av om en person är behörig handläggare hos en myndighet så att kontakter med en annan myndighet – t.ex. användning av en annan myndighets e- tjänst – sker behörigen. Skulle en sådan tjänst, för att kommunicera mellan myndigheter, anses kräva en fullständig kontroll av att den person som utger sig för att agera för en annan myndighets räkning verkligen är behörig att handlägga ärendet, kan den ovan beskrivna lösningen inte användas. Detta beror inte på att den tekniska lös- ningen skulle sakna tillräckliga funktioner utan på att det inte finns några författningsreglerade register över vilka handläggare vid kommuner eller andra myndigheter som är behöriga att handlägga en fråga. Det pågår emellertid ett arbete för att skapa sådana register och kataloger internt hos flera kommuner, där det tydligt och uppdaterat ska framgå vilka som är behöriga att handlägga olika kategorier av ärenden.
234
SOU 2010:104 |
Bilaga 8 |
1.9Landsting
Landsting kan också tillhandahålla