En säker och tillgänglig statlig e-legitimation

Delbetänkande av Utredningen om säker och tillgänglig digital identitet

Stockholm 2023

SOU 2023:61

SOU och Ds finns på regeringen.se under Rättsliga dokument.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2021:1.

Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023

ISBN 978-91-525-0730-8 (tryck)

ISBN 978-91-525-0731-5 (pdf)

ISSN 0375-250X

Till statsrådet Erik Slottner

Regeringen beslutade den 22 december 2022 att tillkalla en särskild utredare med uppdrag att utreda och lämna förslag på hur staten kan utfärda en e-legitimation på högsta tillitsnivå. Utredaren ska också se över behovet av anpassningar som följer av den reviderade eIDAS- förordningen.

Som särskild utredare förordnades från och med den 22 december 2022 rådmannen Henrik Ardhede.

Som huvudsekreterare i utredningen anställdes från och med den 9 januari 2023 hovrättsassessorn Helena Forsaeus. Som utrednings- sekreterare anställdes från och med den 9 januari 2023 seniora hand- läggaren Björn Scharin och från och med den 23 januari 2023 hovrätts- assessorn Anna Carlson.

Som sakkunniga förordnades från och med den 7 februari 2023 kanslirådet Richard Halltell (Finansdepartementet), ämnessakkunnige Magnus Thomann (Justitiedepartementet), departementssekreteraren Johanna Wasteson Lundberg (Finansdepartementet) och departe- mentssekreteraren Ylva Wide (Finansdepartementet). Samma dag för- ordnades som experter strategen Anneli Hagdahl (Myndigheten för digital förvaltning), rättsliga experten Johannes Holmström (Skatte- verket), digitaliseringsstrategen Torbjörn Karlsson (Sveriges Kom- muner och Regioner), verksamhetsutvecklaren Ulf Palmgren (Försäk- ringskassan), strategiska projektledaren Fresia Perez (Sunet), stf. operativa chefen Mikaela Rosenlind Magnusson (Sveriges Certifierings- organ för IT-säkerhet vid Försvarets materielverk), näringspolitiske experten Fredrik Sand (TechSverige), inspektören Björn Seeth (Polis- myndigheten), seniora handläggaren Gustav Söderlind (Myndigheten för samhällsskydd och beredskap) och enhetschefen Helene Thorgren (Bolagsverket).

Johanna Wasteson Lundberg entledigades från sitt uppdrag som sakkunnig den 24 april 2023 och samma dag förordnades rättssak-

kunniga Malin Wictor (Finansdepartementet) att vara sakkunnig i utredningen. Helene Thorgren entledigades från sitt uppdrag som expert den 11 september 2023 och samma dag förordnades verks- juristen Lena Göransson Norrsjö (Bolagsverket) att vara expert i ut- redningen.

Utredningen redogör för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar. Utredningen, som har tagit sig namnet Utredningen om säker och tillgänglig identitet, överlämnar härmed delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61). Till betänkandet fogas två särskilda yttranden. Återstående frågor som omfattas av utredningens uppdrag kommer att behandlas i slutbetänkandet i maj 2024.

Gränna i oktober 2023

Henrik Ardhede

/Helena Forsaeus

Anna Carlson

Björn Scharin

Innehåll

Förkortningar.....................................................................

13

Sammanfattning ................................................................

17

Sammanfattning, lättläst svenska ........................................

25

1

Författningsförslag.....................................................

33

1.1

Förslag till lag om elektronisk identifiering ..........................

33

1.2

Förslag till lag om ändring i förslag till lag

 

 

om auktorisationssystem i fråga om tjänster

 

 

för elektronisk identifiering och för digital post ..................

41

1.3

Förslag till förordning om elektronisk identifiering ............

43

1.4Förslag till förordning om ändring i offentlighets-

och sekretessförordningen (2009:641) ..................................

49

1.5Förslag till förordning om ändring

 

i förordningen (2014:115) med instruktion

 

 

för utrikesrepresentationen ....................................................

51

2

Utredningens uppdrag och arbete................................

53

2.1

Utredningens uppdrag............................................................

53

2.2

Utredningens arbete ...............................................................

54

2.3

Utredningens prioriteringar ...................................................

54

2.4

Delbetänkandets disposition..................................................

55

5

Innehåll

SOU 2023:61

3

Definitioner av vissa centrala begrepp och termer..........

57

3.1

Identitet...................................................................................

57

3.2

Identitetshandling ..................................................................

57

3.3

Identitetsbeteckningar ...........................................................

58

3.4

Identifiering och autentisering ..............................................

59

3.5

E-legitimation .........................................................................

60

3.6

E-tjänstelegitimation ..............................................................

61

3.7

Grundidentifiering..................................................................

61

3.8

Identitetsintygsutfärdare och identitetsintyg.......................

63

3.9

Id-växling ................................................................................

63

3.10

Certifikat.................................................................................

64

3.11

Förlitande part ........................................................................

64

4

E-legitimationsområdet i Sverige .................................

65

4.1

Grundläggande tekniska funktioner......................................

65

4.2

eIDAS-förordningen..............................................................

66

 

4.2.1

Förordningens innehåll...........................................

66

 

4.2.2

Bestämmelser om elektronisk identifiering...........

66

4.2.3Anmälan av e-legitimationssystem

 

för gränsöverskridande användning .......................

67

4.2.4

Förordningens tre tillitsnivåer ...............................

68

4.2.5Den offentliga förvaltningen ska erkänna

 

utländska e-legitimationer ......................................

69

4.2.6

Kvalificerade elektroniska underskrifter................

71

4.2.7

Revidering av eIDAS-förordningen.......................

72

4.3 Tillitsramverket för Svensk e-legitimation ...........................

73

4.3.1Övergripande krav som avser

 

utfärdares verksamhet.............................................

74

4.3.2

Krav kopplade till ansökan och utfärdande ...........

75

4.3.3

Kvalitetsmärket Svensk e-legitimation ..................

76

4.4 E-legitimationer på den svenska marknaden ........................

77

6

SOU 2023:61Innehåll

 

4.4.1

Inledning ..................................................................

77

 

4.4.2

AB Svenska Pass ......................................................

77

 

4.4.3

BankID.....................................................................

77

 

4.4.4

Freja+ ......................................................................

79

4.5

Intäktsmodeller för e-legitimationsutfärdare........................

79

4.6

Anskaffning av tjänster för elektronisk identifiering ...........

80

4.7Tidigare förslag rörande införandet

av en statlig e-legitimation ......................................................

81

4.7.1

Regeringsuppdrag till Verva....................................

81

4.7.2Utredningen om effektiv styrning

 

 

av nationella digitala tjänster ...................................

82

 

4.7.3

2017-års ID-kortsutredning....................................

83

 

4.7.4

Regeringsuppdrag till Myndigheten

 

 

 

för digital förvaltning...............................................

84

5

Internationell utblick .................................................

85

5.1

Inledning..................................................................................

85

5.2

Danmark ..................................................................................

85

5.3

Estland

.....................................................................................

86

5.4

Finland

.....................................................................................

87

5.5

Nederländerna.........................................................................

88

5.6

Tyskland ..................................................................................

88

6

Varför behövs en statlig e-legitimation?........................

91

6.1

Inledning..................................................................................

91

6.2Avsaknad av en anmäld e-legitimation

 

på högsta tillitsnivån ...............................................................

91

6.3

Grundidentifiering är ett statligt åtagande ............................

92

6.4

Bättre förutsättningar för id-växling......................................

93

6.5

Stärkt beredskap och ökad redundans ...................................

95

 

6.5.1

Risker med den ökade användningen

 

 

 

av e-legitimationer ...................................................

95

7

Innehåll

SOU 2023:61

6.5.2Risker med den svenska marknaden

för e-legitimationer .................................................

96

6.5.3En statlig e-legitimation leder till bättre

beredskap och en ökad redundans..........................

97

6.6 Ökad tillgänglighet.................................................................

99

6.6.1Tillgång till e-legitimation är en förutsättning

för delaktighet .........................................................

99

6.6.2Alla har inte förutsättningar och möjlighet

att delta ....................................................................

99

6.6.3Orsakerna till avsaknad av e-legitimation

 

är flera ....................................................................

102

6.6.4

Bestämmelser om tillgänglighet ...........................

104

6.6.5

Förslag under beredning m.m. .............................

107

6.7 Bedrägerier och annan identitetsrelaterad brottslighet ......

109

6.7.1Digitaliseringen har skapat nya möjligheter

 

även för brottsligheten..........................................

110

6.7.2

Olika typer av bedrägeribrottslighet....................

111

6.7.3Äldre och personer med funktionsnedsättning

 

är särskilt utsatta för befogenhetsbedrägerier .....

113

6.7.4

Bedrägeribrottsligheten och penningtvätt...........

114

6.7.5Bedrägeribrottsligheten ger näring

till annan organiserad brottslighet........................

115

6.7.6Bolag och identiteter som målvakter

 

utgör brottsverktyg...............................................

117

6.7.7

Även bidragsbrottsligheten kan involvera

 

 

användning av oriktiga identitetsuppgifter ..........

118

6.7.8Säkrare grundidentifiering tillsammans med andra åtgärder kan minska utrymmet

 

 

för brottslighet ......................................................

118

7

Utredningens överväganden och förslag ......................

121

7.1

Författningsreglering ...........................................................

121

7.2

Utformning av den statliga e-legitimationen......................

126

 

7.2.1

Utgångspunkter för utformningen ......................

126

 

7.2.2

Den statliga e-legitimationen

 

 

 

ska tillhandahållas på ett kontaktlöst kort ...........

126

8

SOU 2023:61

Innehåll

7.2.3Den statliga e-legitimationen ska innehålla

namn och identitetsbeteckning.............................

131

7.2.4Den statliga e-legitimationen ska utformas för att tillåta anpassningar och innehålla

personlig prägel......................................................

132

7.2.5Säker utformning av den statliga

 

e-legitimationen .....................................................

134

7.2.6

Den statliga e-legitimationen ska innehålla

 

 

vissa biometriska uppgifter om innehavaren........

136

7.3Den statliga e-legitimationen bör kunna användas

för att skapa kvalificerade elektroniska underskrifter ........

139

7.4 Tillhandahållande av den statliga e-legitimationen................

144

7.4.1

Utgångspunkter.....................................................

144

7.4.2Till vilka och på vilket sätt ska den statliga

 

e-legitimationen tillhandahållas? ..........................

145

7.4.3

En e-legitimation för hela samhället.....................

155

7.4.4Säkerhetsbehov vid tillhandahållande

 

 

av den statliga e-legitimationen.............................

158

7.5

Grundidentifiering ................................................................

160

7.6

Ansvar för grundidentifiering och utfärdande ....................

171

 

7.6.1

En sammanhållen grundidentifiering för

 

 

 

fysiska och elektroniska identitetshandlingar......

171

7.6.2Få myndigheter bedöms ha de förutsättningar

 

som krävs................................................................

172

7.6.3

Myndigheten för digital förvaltning

 

 

ska ansvara för att utfärda den statliga

 

 

e-legitimationen .....................................................

180

7.6.4Effekter av ett uppdelat myndighetsansvar

 

 

för grundidentifiering respektive utfärdande.......

183

7.7

Giltighetstid och återkallelse................................................

186

 

7.7.1

Den statliga e-legitimationens giltighetstid .........

186

 

7.7.2

Återkallelse och spärr av e-legitimationen ...........

188

7.8

Användningen av den statliga e-legitimationen ..................

192

7.9

Finansiering av den statliga e-legitimationen ......................

200

7.10

Konkurrensrättsliga frågor ...................................................

202

9

Innehåll

SOU 2023:61

7.10.1Den statliga e-legitimationen ska vara

ett komplement till privata alternativ...................

202

7.10.2 Konkurrensrättsliga överväganden ......................

203

7.10.3Den statliga e-legitimationen ska verka på lika villkor som de privata alternativ

som finns på marknaden .......................................

205

7.10.4Åtgärder för att säkerställa

 

konkurrensneutralitet ...........................................

207

7.10.5

Regler om statsstöd...............................................

208

7.11 Behandling av personuppgifter ............................................

209

7.11.1

Dataskyddsförordningen är tillämplig.................

209

7.11.2

Personuppgiftsansvariga myndigheter.................

212

7.11.3Centrala bestämmelser om personuppgiftsbehandling ska införas i lagen

om elektronisk identifiering .................................

214

7.11.4Ändamålen med personuppgiftsbehandlingen

 

ska framgå av lagen................................................

214

7.11.5

Lagen ska innehålla bestämmelser

 

 

om databasen över statliga e-legitimationer ........

219

7.11.6

Förslagen är förenliga med de regelverk

 

 

som styr behandlingen av personuppgifter..........

224

7.11.7

Behandling av integritetskänsliga

 

 

personuppgifter .....................................................

226

7.11.8

Det finns behov av vissa ytterligare

 

 

integritetshöjande åtgärder ...................................

237

7.11.9

Bestämmelser om direktåtkomst .........................

241

7.11.10

Säkerhetshöjande åtgärder ....................................

243

7.11.11

Behov av undantag enligt artikel 23

 

 

i dataskyddsförordningen .....................................

244

7.12 Sekretess................................................................................

246

7.13 Krav om att godta identifiering

 

med vissa e-legitimationer....................................................

250

7.13.1

Inledning................................................................

250

7.13.2

Tidigare förslag och ställningstaganden...............

250

7.13.3

Behövs det författningsreglerade krav? ...............

268

7.13.4Vilka digitala tjänster, e-legitimationer

och aktörer bör kravet omfatta?...........................

268

10

SOU 2023:61

Innehåll

 

7.13.5 Hur ska regleringen utformas

 

 

och var ska den placeras?.......................................

276

 

7.13.6 Undantag från kraven............................................

279

8

Ikraftträdande- och övergångsbestämmelser ...............

283

9

Konsekvenser..........................................................

285

9.1

Inledning................................................................................

285

9.2

Bakgrund till och syfte med förslagen .................................

285

9.3

Nollalternativ ........................................................................

288

9.4

Vilka berörs av förslagen?.....................................................

289

9.5Förslaget om ansvar för utfärdande

av en statlig e-legitimation ....................................................

290

9.5.1

Finansiering för utfärdande ..................................

294

9.6 Förslaget om ansvar för grundidentifiering ........................

295

9.6.1

Utgångspunkter.....................................................

295

9.6.2

Kostnadsberäkningar för grundidentifiering .......

297

9.6.3Slutsatser utifrån uppskattade kostnader

och finansieringsmöjligheter.................................

303

9.6.4Kostnader för att utfärda statlig e-legitimation

till personer bosatta utomlands ............................

304

9.7 Konsekvenser för offentlig sektor i övrigt ..........................

305

9.7.1Förslaget om kravet att vissa e-legitimationer

 

ska godtas för identifiering i digitala tjänster ......

305

9.7.2

Konsekvenser för domstolarna.............................

307

9.7.3

Kommuner och regioner.......................................

307

9.8 Konsekvenser för företag .....................................................

310

9.8.1Krav om att godta vissa utpekade

 

 

e-legitimationer......................................................

310

 

9.8.2

Id-växling från den statliga e-legitimationen .......

312

9.9

Konsekvenser för individer och hushåll ..............................

312

9.10

Konsekvenser för brottsligheten

 

 

och det brottsförebyggande arbetet.....................................

314

11

Innehåll

SOU 2023:61

9.11

Konsekvenser för sysselsättningen och offentlig service

 

 

i olika delar av landet ............................................................

315

9.12

Konsekvenser för jämställdheten mellan

 

 

kvinnor och män samt flickor och pojkar ...........................

316

9.13

Konsekvenser för att nå de integrationspolitiska målen ....

316

9.14

Tidpunkten för ikraftträdande och behov

 

 

av speciella informationsinsatser .........................................

317

10

Författningskommentar ............................................

319

10.1

Förslaget till lag om elektronisk identifiering ....................

319

10.2Förslaget till lag om ändring i förslag till lag om auktorisationssystem i fråga om tjänster

 

för elektronisk identifiering och för digital post ................

339

10.3

Förslaget till förordning om elektronisk identifiering .......

340

10.4

Förslaget till förordning om ändring i offentlighets-

 

 

och sekretessförordningen (2009:641) ...............................

345

10.5

Förslaget till förordning om ändring i förordningen

 

 

(2014:115) med instruktion för utrikesrepresentationen .. 346

Särskilt yttrande av Ulf Palmgren, Försäkringskassan ...........

349

Särskilt yttrande av Johannes Holmström, Skatteverket ........

353

Bilaga

 

Bilaga 1 Kommittédirektiv 2022:142.........................................

357

12

Förkortningar

EU-rättsakter

EU:s förordning om en ge- mensam digital ingång

Dataskyddsförordningen

eIDAS-förordningen

Genomförandeförord- ningen (EU) 2015/1502

Europaparlamentets och rådets för- ordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhanda- hållande av information, förfaranden samt hjälp- och problemlösnings- tjänster och om ändring av förord- ning (EU) nr 1024/2012

Europaparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

Europaparlamentets och rådets för- ordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk iden- tifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG

Kommissionens genomförandeför- ordning (EU) 2015/1502 av den 8 sep- tember 2015 om fastställande av tek- niska minimispecifikationer och för- faranden för tillitsnivåer för medel för

13

Förkortningar

SOU 2023:61

 

elektronisk identifiering i enlighet

 

med artikel 8.3 i Europaparlamentets

 

och rådets förordning (EU) nr

 

910/2014 om elektronisk identifiering

 

och betrodda tjänster för elektroniska

 

transaktioner på den inre marknaden.

Övriga förkortningar

 

a.a.

anfört arbete

Brå

Brottsförebyggande rådet

CEN

European Committee for Standard-

 

ization

Digg

Myndigheten för digital förvaltning

Dir.

Kommittédirektiv

Ds

Departementsserien

EU

Europeiska unionen

f./ff.

följande sida/sidor

ENISA

Europeiska unionens cybersäkerhets-

 

byrå

ETSI

European Telecommunications Stan-

 

dards Institute

ibid.

ibidem, eller på samma ställe, dvs. på

 

samma sida/sidor som föregående

 

fotnotsreferens

IEC

International Electrotechnical Com-

 

mission

ISO

International Organization for Stan-

 

dardization

MSB

Myndigheten för samhällsskydd och

 

beredskap

14

SOU 2023:61Förkortningar

NBC

Polismyndighetens Nationella bedrä-

 

gericentrum

PKI

Public Key Infrastructure

PTS

Post- och telestyrelsen

Prop.

Regeringens proposition

SGSI

Swedish Government Secure Intranet

SIS

Svenska institutet för standarder

SKR

Sveriges Kommuner och Regioner

SOU

Sveriges Offentliga Utredningar

Sunet

Swedish University Computer Net-

 

work

15

Sammanfattning

Uppdraget i korthet

Att föreslå utformning av en statlig e-legitimation

Rådets kompromissförslag till Europaparlamentets och rådets förord- ning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (den reviderade eIDAS-för- ordningen), COM(2021) 281, innebär bl.a. att det ska bli obligatoriskt för varje medlemsstat att anmäla en e-legitimation på den högsta tillits- nivån enligt ett förfarande för gränsöverskridande identifiering.1 Tillits- nivån på e-legitimationen avgör hur tillförlitligt det är att personen som identifierar sig är den man utger sig för att vara.

Med anledning av bl.a. förslagen i den reviderade eIDAS-förord- ningen har utredningen getts i uppdrag att, för det första, lämna förslag på hur en kostnadseffektiv statlig e-legitimation på högsta tillitsnivå kan utformas och tillhandahållas av Myndigheten för digital förvalt- ning och att, för det andra, analysera och föreslå förändringar som följer av den reviderade eIDAS-förordningen. Syftet är att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation.

I detta delbetänkande redovisas utredningens förslag avseende det första deluppdraget.

1Ständiga representanternas kommitté (Coreper I), 25 november 2022, Förslag till Europaparla- mentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet – Allmän riktlinje, s. 55. eIDAS-förordningen är den vanligen förekommande benämningen av Europaparlamentets och rådets förordning (EU) nr 910/ 2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

17

Sammanfattning

SOU 2023:61

Problem- och behovsbild

Tillgänglighet, säkerhet och redundans

En statlig e-legitimation som komplement till de kommersiella som redan finns i Sverige, har efterfrågats även av andra anledningar än de förväntade kraven i den reviderade eIDAS-förordningen. I våra direktiv anges att ett statligt alternativ till befintliga e-legitimationer bör ut- redas ur fler perspektiv, särskilt i fråga om tillgänglighet, säkerhet och redundans.

I synnerhet bland äldre personer, personer med funktionsnedsätt- ningar och personer utan svenskt personnummer råder ett mer eller mindre stort digitalt utanförskap. Även svenskar i utlandet kan i vissa fall ha svårt att få tillgång till en svensk e-legitimation. Staten har ett ansvar att säkerställa att e-legitimationer blir tillgängliga för så många som möjligt. I likhet med vad som framförts i tidigare utredningar om en statlig e-legitimation anser vi att en grundidentifiering (se nedan) som uppfyller kraven för den högsta tillitsnivån och utförs av staten, med- för att också andra e-legitimationer, som baseras på den statliga, kan bli säkrare. I förening med andra säkerhetshöjande åtgärder vid e-legi- timationens användande kan riskerna för identitetsrelaterad brotts- lighet då minskas.

Id-växling, dvs. att kunna skaffa en alternativ e-legitimation för vissa specifika ändamål, kan komma att underlättas genom en statlig e-legiti- mation på högsta tillitsnivån. En statlig e-legitimation skulle således inte bara stärka den civila beredskapen genom att utgöra ett komplement till befintliga e-legitimationer; den kan också underlätta för andra aktö- rer att erbjuda e-legitimationer och betrodda tjänster, vilket i sin tur också kan stärka beredskapen och även bidra till ökad konkurrens på e-legitimationsmarknaden. I kapitel 6 redovisas problem- och behovs- bilden närmare.

18

SOU 2023:61

Sammanfattning

En statlig e-legitimation för så många som möjligt

Myndigheten för digital förvaltning ska utfärda den statliga e-legitimationen

I enlighet med vårt uppdrag föreslår vi att en statlig e-legitimation på tillitsnivå hög enligt eIDAS-förordningen ska utfärdas av Myndigheten för digital förvaltning (avsnitt 7.6).

Enligt våra förslag ska den statliga e-legitimationen tillhandahållas efter ansökan till den som, vid personlig inställelse hos en identitets- kontrollerande myndighet, har styrkt sin identitet och har svenskt personnummer, alternativt ett samordningsnummer för personer med styrkt identitet vilket inte är vilandeförklarat. Vi föreslår också en mini- miålder. Den statliga e-legitimationen får utfärdas från och med det kalenderår sökanden fyller nio år. För barn under arton år krävs att barnets vårdnadshavare har lämnat skriftligt medgivande (avsnitt 7.4).

Den statliga e-legitimationen ska ha en giltighetstid om högst fem år (avsnitt 7.7).

Delat myndighetsansvar

Polismyndigheten och Skatteverket bedöms var och en vara lämpliga som identitetskontrollerande myndighet

Vårt uppdrag omfattar att bl.a. föreslå vilken eller vilka myndigheter som ska ansvara för grundidentifieringen i samband med utfärdandet av den statliga e-legitimationen, och vilka kontroller av sökandens identitet som ska genomföras vid en sådan grundidentifiering.

Med grundidentifiering avses i detta betänkande ett förfarande som leder fram till att en identitetshandling utfärdas, innefattande en pro- cess i vilken det ingår personlig inställelse för sökanden vid såväl ansö- kan om som utlämnandet av identitetshandlingen, att sökanden styrker sin identitet på ett tillförlitligt sätt, och att vissa fysiska kännetecken av sökanden dokumenteras. Vårt förslag om ansöknings- och utgiv- ningsprocess för den statliga e-legitimationen innefattar samtliga dessa moment (avsnitt 7.5).

Vår tolkning av uppdraget är att grundidentifieringen ska utföras av en annan myndighet än Myndigheten för digital förvaltning. Vi gör bedömningen att det är antingen Polismyndigheten eller Skatteverket

19

Sammanfattning

SOU 2023:61

som kan komma i fråga för att genomföra grundidentifieringen på ett tillräckligt säkert, effektivt och tillgängligt sätt, och att regeringen ska bemyndigas att bestämma vilken myndighet som ska ansvara för upp- giften (avsnitt 7.6).

Vi förordar Polismyndigheten framför Skatteverket. Polismyndig- heten har redan i dag en utbredd närvaro i samhället och har till antalet närmare dubbelt så många utgivningsställen för identitetshandlingar som Skatteverket. Vidare har Polismyndigheten en i omfattning och tid större erfarenhet beträffande identitetskontroller. Att polisen utses som identitetskontrollerande myndighet för den statliga e-legitimatio- nen bedömer vi sammantaget vara den mest kostnadseffektiva lös- ningen. Därtill menar vi att Polismyndigheten vid identitetskontrollerna

i sin egenskap av brottsbekämpande myndighet – bättre kan motverka utmaningar kopplade till den identitetsrelaterade brottsligheten.

Utlandsmyndigheterna och Utrikesdepartementet bedöms ha er- forderliga förutsättningar att hantera grundidentifiering i samband med ansökningar om statlig e-legitimation utanför riket (avsnitt 7.6).

Utformningen av den statliga e-legitimationen

Den statliga e-legitimationen ska tillhandahållas på ett kontaktlöst aktivt kort som även är eller kan certifieras som en anordning för att skapa kvalificerade elektroniska underskrifter

Den statliga e-legitimationen ska tillhandahållas på en bärare som ut- formats på ett sätt som uppfyller kraven för nivå hög enligt eIDAS- regelverket. Bäraren av e-legitimationen ska vara ett kontaktlöst aktivt kort som ska skyddas mot obehörig användning, läsning och kopie- ring av uppgifter som e-legitimationen innehåller (avsnitt 7.2).

E-legitimationen bör dock, enligt vår bedömning, finnas även på ett statligt utfärdat identitetskort så snart som möjligt (avsnitt 7.6). Skatte- verkets identitetskort för folkbokförda i Sverige får utfärdas enbart till personer som har fyllt 13 år och är folkbokförda i landet enligt folkbok- föringslagen (1991:481). Det nationella identitetskortet får utfärdas av Polismyndigheten till endast svenska medborgare. Dessa statliga iden- titetshandlingar kan därmed för närvarande inte utgöra bärare för den statliga e-legitimationen, om den ska kunna tillhandahållas till hela den föreslagna personkretsen (avsnitt 7.2).

20

SOU 2023:61

Sammanfattning

I våra direktiv konstateras dels att det är tidskrävande att ta fram ett kombinerat identitetskort och e-legitimation, dels att förslagen i den reviderade eIDAS-förordningen, i kombination med ett förändrat säkerhetsläge, kan medföra vissa krav på skyndsamhet att ta fram en statlig e-legitimation på högsta tillitsnivån. Vårt förslag kan mot den bakgrunden ses som en alternativ lösning för att möta skyndsamhets- kraven. En e-legitimation på ett separat kort tillgodoser samtidigt behovet av att personer som saknar svenskt personnummer men har tillräcklig anknytning till Sverige för att tilldelas ett samordnings- nummer, kan få en svensk e-legitimation, oberoende av om personkret- sen för exempelvis Skatteverkets identitetskort även fortsättningsvis omfattar enbart folkbokförda personer.

Den statliga e-legitimationen ska innehålla de attribut som behövs i e-legitimationer som ges ut till privatpersoner, dvs. innehavarens namn och personnummer, alternativt samordningsnummer för perso- ner med styrkt identitet. Därutöver ska den statliga e-legitimationen i ett lagringsmedium på bäraren innehålla innehavarens ansiktsbild och fingeravtryck (avsnitt 7.2).

Vi bedömer att den statliga e-legitimationen bör kunna användas för att framställa kvalificerade elektroniska underskrifter. Bäraren för e-legitimationen ska därför antingen vara eller kunna certifieras som en anordning för att framställa kvalificerade elektroniska under- skrifter (avsnitt 7.3).

Finansiering

Ansökningsavgift och förstärkta anslag till berörda myndigheter

En ansökan om statlig e-legitimation ska förenas med en ansöknings- avgift. Den kan finansiera delar av det arbete som fordras för att ut- föra grundidentifieringen. Uppbyggnaden av detta arbete, liksom det som krävs för verksamheten att utfärda den statliga e-legitimationen, förutsätter dock anslagsfinansiering. Det är vidare en förutsättning för att skapa långsiktighet i dessa verksamheter (avsnitt 7.9).

21

Sammanfattning

SOU 2023:61

Krav på offentlig sektor att godta vissa e-legitimationer för identifiering i digitala tjänster

Godkända e-legitimationer måste kunna användas

Vi föreslår att det ska ställas lagkrav på offentliga aktörer att för sina digitala tjänster tillåta identifiering med de e-legitimationer som ut- färdas av leverantörer som är godkända enligt ett auktorisationssystem för elektronisk identifiering och för digital post.2 Utöver statliga myn- digheter, kommuner och regioner omfattas sådana företag som yrkes- mässigt bedriver verksamhet, vilken till någon del är offentligt finan- sierad, inom förskola, skola, hälso- och sjukvård samt omsorg. Enligt vår bedömning krävs denna reglering bl.a. för att uppnå de i våra direk- tiv uppställda målen om ökad tillgänglighet och ökad redundans genom en mer diversifierad marknad för e-legitimationer.

Den föreslagna skyldigheten gäller endast om tillitsnivån för e-legi- timationen motsvarar en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offentliga aktören kräver för åtkomst till den digi- tala tjänsten.

Statliga myndigheter, kommuner och regioner som har behov av tjänster för elektronisk identifiering ska använda de tjänster som till- handahålls genom auktorisationssystem. Närmare bestämmelser om vilken typ av tjänster som kravet avser, och om hur skyldigheten ska fullgöras, meddelas genom myndighetsföreskrifter (avsnitt 7.13).

Författningsreglering

En ny lag och förordning om elektronisk identifiering

Den lagreglering som är nödvändig med anledning av förslaget om en statlig e-legitimation samlas i en ny lag. I den lagen regleras också det föreslagna kravet om att godta vissa e-legitimationer. För övriga be- stämmelser, bl.a. sådana som behövs för verkställigheten av lagen, före- slås en förordning (avsnitt 7.1).

I lagen tas in centrala bestämmelser om den uppgifts- och ansvars- fördelning som aktualiseras mellan berörda myndigheter i den gemen- samma utgivningsprocessen, bl.a. personuppgiftsansvar och behand-

2Prop. 2023/24:6. I propositionen föreslås att valfrihetssystem enligt lagen (2013:311) om val- frihetssystem i fråga om tjänster för elektronisk identifiering ska ersättas av auktorisationssystem för sådana tjänster.

22

SOU 2023:61

Sammanfattning

ling av personuppgifter (avsnitt 7.11). Vidare införs bestämmelser om kraven för att tillhandahållas en statlig e-legitimation (avsnitt 7.4), om återkallelse och spärr av utfärdad e-legitimation (avsnitt 7.7), om över- klagande och verkställbarhet av beslut, och om användning av vissa e-legitimationer (avsnitten 7.8 och 7.13).

Våra förslag medför behov av följdändringar i bl.a. offentlighets- och sekretessförordningen (2009:641) samt i regeringens förslag till lag om auktorisationssystem i fråga om tjänster för elektronisk iden- tifiering och digital post.

Ny och ändrad reglering föreslås träda i kraft den 1 mars 2026.

23

Sammanfattning, lättläst svenska

EU vill göra ett digitalt id-kort

Sverige är med i något som heter EU.

I EU jobbar svenska politiker tillsammans med andra europeiska länders politiker.

Där bestämmer de olika regler och lagar för oss i Europa.

De som bestämmer i EU vill göra ett särskilt digitalt id-kort.

Så att det blir enklare att veta vem som är vem i alla länder i EU.

Digitala id-kort kallas också för e-legitimation.

Utredning om e-legitimation i Sverige

Sverige vill också göra en ny e-legitimation.

De som bestämmer i Sverige vill ta reda på saker om Sveriges e-legitimation.

Det gör man i något som kallas för en utredning.

I en utredning får man svar på saker man har frågor om med hjälp av experter.

25

Lättläst sammanfattning

SOU 2023:61

I utredningen vill man få svar på om den nya e-legitimationen skulle vara säkrare än de som redan finns.

Till exempel om man kan förhindra bedrägerier eller att någons e-legitimation används utan lov.

Man vill också få reda på om den nya e-legitimationen skulle bli mer tillgänglig för fler.

Äldre personer kan ha lite svårare att använda teknik som till exempel en mobiltelefon.

Iutredningen vill man veta om den nya e-legitimationen skulle vara enklare att använda för äldre och personer med funktionsnedsättning.

Har man inget personnummer är det svårt att få en e-legitimation i dag.

De som bor i Sverige men inte är medborgare har ibland inget personnummer.

I utredningen vill man veta om de utan personnummer skulle få det enklare med den nya e-legitimationen.

Nu är utredningen klar.

Det finns förslag om den nya e-legitimationen. Förslagen är till de som bestämmer i Sverige.

26

SOU 2023:61

Lättläst sammanfattning

E-legitimation för så många som möjligt

Det finns redan företag som gör e-legitimationer i dag. Den nya e-legitimationen skulle göras av svenska staten. Myndigheten som ska göra e-legitimationen heter Myndigheten för digital förvaltning.

Den myndigheten kallas för Digg.

Om Sverige gör en egen e-legitimation vill man att den ska vara tillgänglig för fler.

Till exempel för äldre, människor med funktionsnedsättning och de som saknar personnummer.

Är man inte svensk medborgare kan man få ett samordningsnummer.

Det är som ett personnummer, till exempel för de som bor i Sverige under en kortare tid.

Ett annat exempel är de som bor i ett grannland men jobbar i Sverige.

Samordningsnummer med styrkt identitet kallas det säkraste samordningsnumret.

Det kan man få om man bevisat vem man är.

Den nya e-legitimationen skulle kunna skaffas av de som har ett personnummer eller det säkraste samordningsnumret.

Man skulle få e-legitimationen från det året man fyller 9 år.

27

Lättläst sammanfattning

SOU 2023:61

Barn under 18 år måste söka e-legitimation med hjälp av sina föräldrar.

E-legitimationen kommer att fungera i 5 år. Sen behöver man göra en ny.

Polisen eller Skatteverket kollar att personnummer eller samordningsnummer är rätt.

E-legitimationen skulle skapas för att vara så säker som möjligt.

E-legitimationen finns på ett plastkort.

Kortet skulle göra att e-legitimationen inte blir kopierad eller används av andra.

Längre fram vill man sätta e-legitimationen på ett vanligt id-kort.

Men just nu går det inte.

Det skulle ta för lång tid att göra det nu.

E-legitimationen skulle innehålla samma saker som ett id-kort eller pass.

Där kommer personnummer eller samordningsnummer att finnas.

I e-legitimationen kommer det även att finnas en bild på personen.

Det kommer också att finnas fingeravtryck från personen.

28

SOU 2023:61

Lättläst sammanfattning

E-legitimationen kommer att kosta pengar

För att göra de nya e-legitimationerna behövs det pengar.

En del av pengarna skulle komma från de som skaffar e-legitimationen.

De som vill ha en e-legitimation betalar en liten summa pengar när de ansöker.

Det kallas för ansökningsavgift.

Resten av pengarna skulle komma från svenska staten.

Nya regler för e-legitimation

Om Sverige gör en ny e-legitimation behöver de politiker som bestämmer göra nya regler.

Det kallas för ny lag.

I lagen skulle det stå vilka som ska vara ansvariga för att e-legitimationen fungerar som den ska.

Man kan också läsa om vilka som får och inte får e-legitimationen.

Om man bryter mot reglerna kan man bli av med e-legitimationen.

Den nya lagen skulle börja gälla den 1 mars 2026.

29

Lättläst sammanfattning

SOU 2023:61

Om man är svensk men inte bor i Sverige

Det ska bli enklare för svenskar som inte bor kvar i Sverige att få e-legitimation.

När man behöver något från svenska staten men är utomlands går man till en särskild plats.

Det kallas för konsulat eller ambassad.

De som inte bor i Sverige men som ändå tillhör landet skulle också kunna få den nya svenska e-legitimationen.

Om man inte har svenskt personnummer

De som bor i Sverige men inte har ett personnummer har svårt att få en e-legitimation i dag.

Den statliga e-legitimationen skulle man kunna få med ett samordningsnummer med styrkt identitet.

E-legitimationer ska kunna användas på fler ställen

Man kan använda e-legitimation för att skriva sin namnteckning digitalt.

En namnteckning är som ett bevis på att man går med på något.

Till exempel att man vill köpa en sak eller tjänst.

Den nya svenska e-legitimationen ska kunna användas för att bevisa vem man är för offentlig verksamhet.

30

SOU 2023:61

Lättläst sammanfattning

Offentlig verksamhet är till exempel förskola, sjukhus och omsorg.

E-legitimationen skulle kunna användas när man sätter sitt barn i kö på en förskola.

Eller när man behöver gå till doktorn.

Den statliga e-legitimationen skulle fungera på alla myndigheter, kommuner och regioner.

Den skulle även fungera hos privata företag som jobbar med offentlig verksamhet.

De e-legitimationer som redan finns i dag skulle också fungera på alla myndigheter, kommuner, regioner och företag som jobbar med offentlig verksamhet.

31

1 Författningsförslag

1.1Förslag till lag om elektronisk identifiering

Härigenom föreskrivs följande.

Lagens innehåll och förhållande till annan reglering

1 § Denna lag innehåller bestämmelser om medel för elektronisk identifiering som utfärdas av staten samt krav på erkännande av vissa medel för elektronisk identifiering.

Bestämmelser om medel för elektronisk identifiering finns också i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, här benämnd EU:s förordning om elek- tronisk identifiering, samt i lagen (2016:561) med kompletterande be- stämmelser till EU:s förordning om elektronisk identifiering.

Ord och uttryck i lagen

2 § Med elektronisk identifiering, medel för elektronisk identifiering, nättjänst och autentisering avses i denna lag detsamma som i EU:s för- ordning om elektronisk identifiering.

3 § Med en offentlig aktör avses i denna lag

1.en statlig eller kommunal myndighet, eller en beslutande för- samling i en kommun eller region,

2.en sammanslutning som inrättats särskilt för att tillgodose behov

idet allmännas intresse, under förutsättning att behovet inte är av indu-

33

Författningsförslag

SOU 2023:61

striell eller kommersiell karaktär, och som består av en eller flera myn- digheter eller församlingar som anges i 1,

3.en privat aktör som yrkesmässigt bedriver verksamhet som till någon del är offentligt finansierad och som

a) aktören bedriver i egenskap av enskild huvudman inom skol- väsendet eller huvudman för en sådan internationell skola som avses

i24 kap. skollagen (2010:800),

b)utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125),

c)bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestäm- melser om vård av unga eller lagen (1993:387) om stöd och service till vissa funktionshindrade, eller

d)utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken, eller

4. en enskild utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad nivå eller av utbildning på forskarnivå.

Ansökan om och utfärdande av statligt medel för elektronisk identifiering

4 § Statligt medel för elektronisk identifiering får, efter ansökan, ut- färdas av den myndighet som regeringen bestämmer (utfärdande myn- dighet).

5 § Statligt medel för elektronisk identifiering får utfärdas till en person som innevarande kalenderår är eller ska fylla nio år och som har antingen ett svenskt personnummer enligt folkbokföringslagen (1991:481) eller ett sådant samordningsnummer som tilldelats personer som styrkt sin identitet enligt lagen (2022:1697) om samordnings- nummer, som inte är förklarat vilande.

För den som är under arton år krävs vårdnadshavares skriftliga med- givande.

6 § Den sökande är skyldig att styrka sin identitet och övriga per- sonuppgifter.

34

SOU 2023:61

Författningsförslag

7 § Kontroll av att sökandens identitet är styrkt ska göras av den eller de myndigheter som regeringen bestämmer (identitetskontrollerande myndighet).

8 § I samband med ansökan är sökanden skyldig att låta den iden- titetskontrollerande myndigheten ta ett fingeravtryck och en ansikts- bild i digitalt format.

9 § Fingeravtrycken och ansiktsbilden enligt 8 § ska sparas i ett lag- ringsmedium i bäraren av det statliga medlet för elektronisk identi- fiering.

Fingeravtrycken och de biometriska data som tas fram ur dessa ska omedelbart förstöras när det statliga medlet för elektronisk iden- tifiering har lämnats ut eller en ansökan om sådant medel har återkallats eller avslagits.

10 § En ansökan ska avslås om förutsättningarna i 5 och 6 §§ inte är uppfyllda. Detsamma gäller om det som anges i 8 § eller som före- skrivits i enlighet med 11 § andra stycket 1 inte har iakttagits, och sök- anden inte har följt en uppmaning att avhjälpa bristen.

11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från skyldigheten att lämna finger- avtryck när det gäller minderåriga och personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om

1.ansökan om samt utfärdande och utlämnande av ett statligt medel för elektronisk identifiering, och

2.utformningen av det statliga medlet för elektronisk identifiering.

Återkallelse och spärr av statligt medel för elektronisk identifiering

12 § Ett statligt medel för elektronisk identifiering ska återkallas och spärras om

1.det fanns hinder mot att utfärda ett sådant medel vid tiden för utfärdandet och hindret fortfarande består,

35

Författningsförslag

SOU 2023:61

2.någon väsentlig uppgift som ett sådant medel innehåller är fel- aktig eller inte längre gäller,

3.det är nödvändigt av säkerhetsskäl för att någon annan än den som ett sådant medel är utställt till kan misstänkas obehörigt förfoga över det, eller om innehavaren av medlet på annat sätt förlorat kon- trollen över det,

4.ett sådant medel inte har aktiverats inom sex månader efter att ansökan gjordes, eller

5.innehavaren av ett sådant medel har avlidit.

På begäran av innehavaren får ett statligt medel för elektronisk iden- tifiering återkallas och spärras.

13 § Om ett statligt medel för elektronisk identifiering tidigare har utfärdats till sökanden ska det spärras senast i samband med att ett nytt sådant medel utfärdas.

14 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om förfarandet vid spärr av statligt medel för elektronisk identifiering.

Behandling av personuppgifter

15 § Bestämmelserna i 16, 17, 19–23 och 25 §§ samt föreskrifter som meddelats enligt 18 och 24 §§ i denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av 16–25 §§ eller föreskrifter som meddelats i anslutning till dessa paragrafer.

36

SOU 2023:61

Författningsförslag

Databas över statligt medel för elektronisk identifiering

16 § Den utfärdande myndigheten ska med hjälp av automatiserad behandling föra en databas med en samling uppgifter om statliga medel för elektronisk identifiering som myndigheten har utfärdat.

17 § En kopia av den ansiktsbild som enligt 9 § ska finnas i ett lag- ringsmedium i bäraren av det statliga medlet för elektronisk identi- fiering, och de biometriska uppgifter som tas fram ur ansiktsbilden får behandlas i databasen.

18 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om

1.vilka uppgifter databasen ska eller får innehålla, och

2.den längsta tid som personuppgifter får behandlas i databasen.

Personuppgiftsansvar

19 § Den utfärdande myndigheten är personuppgiftsansvarig för den behandling av personuppgifter som sker i samband med ansökan om och utfärdandet av ett statligt medel för elektronisk identifiering.

Den identitetskontrollerande myndigheten är personuppgiftsan- svarig för den behandling av personuppgifter som sker i samband med att myndigheten kontrollerar att sökandes identitet är styrkt enligt 7 §.

Ändamål

20 § Personuppgifter får behandlas av den utfärdande myndigheten om det är nödvändigt för att

1.handlägga ärenden om statligt medel för elektronisk identifiering

2.administrera en databas över innehavare av statliga medel för elek- tronisk identifiering, och

3.möjliggöra en säker användning av statliga medel för elektronisk identifiering.

Personuppgifter får behandlas av den identitetskontrollerande myn- digheten om det är nödvändigt för att, i samband med ansökan, kunna kontrollera den sökandes identitet.

37

Författningsförslag

SOU 2023:61

Personuppgifter som har samlats in enligt första stycket får också behandlas av den utfärdande myndigheten

1.om det är nödvändigt för att tillhandahålla information som be- hövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet,

2.om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

3.för andra ändamål, under förutsättning att uppgifterna inte be- handlas på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

Behandling av känsliga personuppgifter

21 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för ändamålet med behandlingen.

Känsliga personuppgifter får dock behandlas

1.i databasen när det är tillåtet enligt 17 § och föreskrifter som med- delats enligt 18 §, och

2.vid sökning som är tillåten enligt 22 §.

Integritetshöjande och säkerhetshöjande åtgärder

22 § Det är förbjudet att använda ansiktsbilder samt biometriska uppgifter som har tagits fram ur sådana bilder som sökbegrepp. Trots förbudet får den ansiktsbild som tas enligt 8 §, och de biometriska uppgifter som tas fram ur ansiktsbilden, användas vid sökning i data- basen i samband med ansökan om medel för elektronisk identifier- ing. Sökning är då tillåten endast för att kontrollera sökandens iden- titet och innehav av sådant medel.

Sådana övriga känsliga personuppgifter som avses i 21 § och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp.

38

SOU 2023:61

Författningsförslag

23 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

24 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.närmare föreskrifter om tillgången till personuppgifter, och

2.ytterligare föreskrifter om säkerhetsåtgärder till skydd för per- sonuppgifter.

Rätten att göra invändningar

25 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Krav på erkännande av vissa medel för elektronisk identifiering

26 § När medel för elektronisk identifiering krävs för att få tillgång till en nättjänst som tillhandahålls av en offentlig aktör, och tjänsten helt eller delvis riktar sig till privatpersoner, ska medel erkännas för autentisering för tjänsten om

1.medlet för elektronisk identifiering tillhandahålls av leverantör som är godkänd i enlighet med lagen (20XX:XXX) om auktorisations- system i fråga om tjänster för elektronisk identifiering och för digital post, och

2.tillitsnivån för medlet för elektronisk identifiering motsvarar en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offent- liga aktören kräver för åtkomst till nättjänsten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka typer av tjänster för elektronisk identifiering som kravet

iförsta stycket avser,

2.hur skyldigheten ska fullgöras, och

3.undantag från kravet.

39

Författningsförslag

SOU 2023:61

Användning av statligt medel för elektronisk identifiering

27 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om villkor för när och hur ett statligt medel för elektronisk identifiering får användas.

Övriga bestämmelser

28 § Beslut enligt denna lag får överklagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

29 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.

Denna lag träder i kraft den 1 mars 2026.

40

SOU 2023:61

Författningsförslag

1.2Förslag till lag om ändring i förslag till lag om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post

Härigenom föreskrivs att 2 § lagen om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post

dels ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 23 §, av följande lydelse.

Lydelse enligt

Föreslagen lydelse

proposition 2023/24:6

 

2 §

Med ett auktorisationssystem avses i denna lag ett system där

1.den myndighet som tillhandahåller systemet godkänner att leve- rantörer av tjänster för elektronisk identifiering av enskilda eller för digital post får ingå ett avtal inom systemet och ingår avtal med var och en av de godkända leverantörerna om utförande av sådana tjänster,

2. en enskild har rätt att välja

2. en enskild har rätt att välja

den leverantör som ska utföra

den leverantör som ska utföra

tjänsterna för den enskildes räk-

tjänsterna för den enskildes räk-

ning, och

ning,

3. en offentlig aktör kan an-

3. en sådan offentlig aktör som

vända tjänsterna i sin verksamhet

avses i 4 § första stycket 1–3 a ska

enligt avtal med den tillhanda-

använda tjänsterna för elektronisk

hållande myndigheten.

identifiering och kan använda tjäns-

 

terna för digital post i sin verk-

 

samhet enligt avtal med den till-

 

handahållande myndigheten, och

 

4. en sådan offentlig aktör som

 

avses i 4 § första stycket 3 b–5 och

 

andra stycket kan använda tjäns-

 

terna i sin verksamhet enligt avtal

 

med den tillhandahållande myn-

 

digheten.

41

Författningsförslag

SOU 2023:61

23 §

Regeringen eller den myndighet som regeringen bestämmer får be- sluta om undantag från skyldig- heten i 2 § 3.

Denna lag träder i kraft den 1 mars 2026.

42

SOU 2023:61

Författningsförslag

1.3Förslag till förordning om elektronisk identifiering

Härigenom föreskrivs följande.

Förordningens innehåll

1 § Denna förordning innehåller bestämmelser som kompletterar lagen (20XX:XXX) om elektronisk identifiering.

Ord och uttryck som används i denna förordning har samma be- tydelse som i lagen.

Utfärdande och identitetskontrollerande myndigheter

2 § Myndigheten för digital förvaltning är utfärdande myndighet av statligt medel för elektronisk identifiering.

3 § Myndigheten X är identitetskontrollerande myndighet för ansök- ningar om statligt medel för elektronisk identifiering som görs inom riket.

Regeringskansliet får besluta i vilken utsträckning beskickningar och karriärkonsulat ska fullgöra uppgifter som identitetskontrolle- rande myndighet i fråga om ansökningar om statligt medel för elek- tronisk identifiering som görs utom riket. Regeringskansliet får också besluta att ett honorärkonsulat i begränsad utsträckning ska fullgöra sådana uppgifter.

Ansökan om och utfärdande av statligt medel för elektronisk identifiering

4 § Ansökan om statligt medel för elektronisk identifiering ska göras hos en identitetskontrollerande myndighet.

Den identitetskontrollerande myndigheten ska registrera nödvän- diga uppgifter i den databas för statliga medel för elektronisk identi- fiering som den utfärdande myndigheten har rätt att föra enligt lagen (20XX:XXX) om elektronisk identifiering.

43

Författningsförslag

SOU 2023:61

5 § Sökanden är skyldig att inställa sig personligen.

Om sökanden är under arton år ska sökanden ge in ett skriftligt medgivande från hans eller hennes vårdnadshavare, om det inte finns synnerliga skäl att ändå utfärda ett statligt medel för elektronisk iden- tifiering.

I fråga om barn som är under arton år ska en handling som styrker uppgift om vem som är vårdnadshavare uppvisas, om denna uppgift inte framgår av för den identitetskontrollerande myndighetens till- gängliga uppgifter.

6 § För personer som av fysiska skäl är permanent förhindrade att lämna fingeravtryck gäller undantag från skyldigheten i 8 § lagen (20XX:XXX) om elektronisk identifiering att låta den identitets- kontrollerande myndigheten ta den sökandes fingeravtryck.

7 § Om en sökande för att styrka sin identitet uppvisar en iden- titetshandling som är försedd med ett fotografi av innehavarens ansikte eller innehåller ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, får den identitetskontrollerande myndigheten kontrollera att dessa motsvarar fingeravtryck och ansiktsbild som enligt 8 § lagen (20XX:XXX) ska tas av sökanden vid ansökningstillfället.

När en kontroll enligt första stycket har genomförts, ska finger- avtrycken och de biometriska data som då har tagits fram omedelbart förstöras.

8 § Ett statligt medel för elektronisk identifiering ska finnas på ett kontaktlöst kort och ska utfärdas på tillitsnivå hög enligt artikel 8.2 c i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upp- hävande av direktiv 1999/93/EG, här benämnd EU:s förordning om elektronisk identifiering.

Ett kort enligt första stycket ska antingen vara en certifierad an- ordning för skapande av kvalificerade elektroniska underskrifter som avses i artikel 3.12 i EU:s förordning om elektronisk identifiering, eller kunna certifieras som en sådan anordning.

Ett medel för elektronisk identifiering ska innehålla efternamn, förnamn, namn som visas för användaren, och personnummer enligt folkbokföringslagen (1991:481), alternativt samordningsnummer för

44

SOU 2023:61

Författningsförslag

personer med styrkt identitet enligt lagen (2022:1697) om samord- ningsnummer.

9 § Myndigheten X får, efter att ha hört Regeringskansliet (Utrikes- departementet), meddela de ytterligare föreskrifter som behövs för verkställigheten av kontrollen att en sökande har styrkt sin identitet enligt 6 § lagen (20XX:XXX) om medel för elektronisk identifiering när det gäller ansökan om sådant medel som görs inom riket.

Regeringskansliet får, efter att ha hört Myndigheten X, meddela motsvarande föreskrifter för sådana identitetskontrollerande myndig- heter utom riket som avses enligt denna förordning.

Myndigheten för digital förvaltning får med stöd av 8 kap. 7 § reger- ingsformen meddela de ytterligare föreskrifter som behövs för verk- ställigheten av denna förordning.

Utlämnande av statligt medel för elektronisk identifiering

10 § Om ansökan bifalls av den utfärdande myndigheten, ska den identitetskontrollerande myndigheten skyndsamt lämna ut medlet för elektronisk identifiering till sökanden personligen.

Giltighetstid samt återkallelse och spärr

11 § Ett statligt medel för elektronisk identifiering ska utfärdas med en giltighetstid av högst fem år.

12 § För sökande som av fysiska skäl är tillfälligt förhindrade att lämna fingeravtryck ska det statliga medlet för elektronisk identi- fiering ges giltighet endast så lång tid som det fysiska hindret för- väntas bestå. Giltighetstiden får dock inte överstiga sju månader.

45

Författningsförslag

SOU 2023:61

13 § Myndigheten för digital förvaltning får meddela ytterligare före- skrifter om begränsning av giltighetstiden i särskilt angivna fall.

Behandling av personuppgifter

14 § Den databas som Myndigheten för digital förvaltning ska föra enligt lagen (20XX:XXX) om elektronisk identifiering ska innehålla

1.sökandens fullständiga namn, personnummer alternativt sam- ordningsnummer, födelsetid, och behövliga kontaktuppgifter,

2.kopia av den ansiktsbild som tagits vid ansökan och biomet- riska uppgifter som tagits fram ur ansiktsbilderna,

3.dagen för utfärdandet av det statliga medlet för elektronisk iden- tifiering samt dess giltighetstid och status,

4.unik identifierare för det statliga medlet för elektronisk iden- tifiering och dess serienummer,

5.aktiveringskod,

6.kondensat av innehavarens personliga kod,

7.uppgift om hur sökanden har styrkt sin identitet,

8.uppgift om att ansökan har avslagits och skälen för detta beslut,

och

9.uppgift om att det statliga medlet för elektronisk identifiering har återkallats och spärrats, samt vad som har utgjort skäl för åter- kallelsen.

En handling som har kommit in eller upprättats i ett ärende får be- handlas i databasen.

15 § Databasen som avses i 14 § får tillföras sådana uppgifter från Skatteverkets folkbokföringsdatabas som anges i 14 § första stycket 1.

16 § Uppgifter och handlingar vilka finns i databasen som avses i 14 § ska gallras senast tio år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades.

Riksarkivet får, efter att ha inhämtat synpunkter från Myndigheten för digital förvaltning, meddela föreskrifter om

1.att uppgifter och handlingar får bevaras för arkivändamål av all- mänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än som anges första stycket, och

46

SOU 2023:61

Författningsförslag

2.avskiljande och begränsningar av åtkomsten till uppgifter och handlingar som bevaras för sådana ändamål som anges i 1.

17 § En innehavare av ett statligt medel för elektronisk identifiering har rätt att hos den identitetskontrollerande myndigheten kontrollera den information som har sparats i lagringsmediet på bäraren av det medlet för elektronisk identifiering.

18 § Myndigheten för digital förvaltning får meddela närmare före- skrifter om

1.tillgången till personuppgifter inom myndigheten, och

2.andra säkerhetsåtgärder till skydd för personuppgifter inom myn- digheten.

Myndigheten X får meddela närmare föreskrifter om

1.tillgången till personuppgifter inom myndigheten, och

2.andra säkerhetsåtgärder till skydd för personuppgifter inom myn- digheten.

Regeringskansliet (Utrikesdepartementet) får meddela närmare föreskrifter om

1.tillgången till personuppgifter inom sådana identitetskontrolle- rande myndigheter utom riket som avses enligt denna förordning, och

2.andra säkerhetsåtgärder till skydd för personuppgifter inom så- dana identitetskontrollerande myndigheter utom riket som avses enligt denna förordning.

Krav på erkännande av vissa medel för elektronisk identifiering

19 § Myndigheten för digital förvaltning får meddela föreskrifter om

1.vilken typ av tjänster som kravet i 26 § första stycket lagen (20XX:XXX) om elektronisk identifiering avser,

2.hur skyldigheten ska fullgöras, och

3.undantag från kravet.

Ansökningsavgift

20 § För prövning av ansökan om statligt medel för elektronisk iden- tifiering ska sökanden betala en ansökningsavgift på 400 kronor. Av- giften ska betalas i samband med ansökan. Om avgiften inte är betald

47

Författningsförslag

SOU 2023:61

då tillämpas bestämmelserna i 11 § avgiftsförordningen (1992:191). För prövning av ansökan tillämpas i övrigt bestämmelserna i 12–14 §§ avgiftsförordningen.

Denna förordning träder i kraft den 1 mars 2026.

48

SOU 2023:61

Författningsförslag

1.4Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 6 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §1

Sekretess gäller i nedan angiven verksamhet, som avser registrering av betydande del av befolkningen, för

1.uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2.uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Verksamheten avser

Verksamheten avser

fastighetsregistret

fastighetsregistret

kommunala fastighets-

kommunala fastighets-

register

register

 

Myndigheten för digital för-

 

valtnings databas över statliga medel

 

för elektronisk identifiering

passregister och register över

passregister och register över

nationella identitetskort

nationella identitetskort

röstlängdsregister

röstlängdsregister

Skatteverkets databas över

Skatteverkets databas över

identitetskort för folkbokförda i

identitetskort för folkbokförda i

Sverige

Sverige

Socialstyrelsens register över

Socialstyrelsens register över

legitimerad hälso- och sjukvårds-

legitimerad hälso- och sjukvårds-

personal och personal med bevis

personal och personal med bevis

om rätt att använda yrkestiteln

om rätt att använda yrkestiteln

undersköterska

undersköterska

Statens jordbruksverks regis-

Statens jordbruksverks regis-

ter över hund- och kattägare

ter över hund- och kattägare

1Senaste lydelse 2023:297.

49

Författningsförslag

SOU 2023:61

Statens tjänstepensionsverks

Statens tjänstepensionsverks

pensionsregister

pensionsregister

Totalförsvarets plikt- och pröv-

Totalförsvarets plikt- och pröv-

ningsverks register över totalför-

ningsverks register över totalför-

svarets personal

svarets personal

Transportstyrelsens vägtrafik-

Transportstyrelsens vägtrafik-

register

register

Denna förordning träder i kraft den 1 mars 2026.

50

SOU 2023:61

Författningsförslag

1.5Förslag till förordning om ändring

i förordningen (2014:115) med instruktion för utrikesrepresentationen

Härigenom föreskrivs att det i förordningen ska införas en ny para- graf, 3 kap. 10 b §, och närmast före 3 kap. 10 b § en ny rubrik av föl- jande lydelse.

3 kap.

Identitetskontroll i ärende om statligt medel för elektronisk identifiering

10 b §

Beskickningar och konsulat ska utföra identitetskontroll enligt lagen (20XX:XXX) om elektronisk iden- tifiering.

Denna förordning träder i kraft den 1 mars 2026.

51

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Regeringen beslutade den 22 december 2022 kommittédirektiv om att ge en särskild utredare i uppdrag att utreda och lämna förslag på hur staten kan utfärda en e-legitimation på högsta tillitsnivå. Utredaren ska också se över behovet av anpassningar som följer av den revide- rade eIDAS-förordningen.

Av utredningsdirektiven framgår bl.a. att utredningen ska lämna förslag på hur en kostnadseffektiv e-legitimation på tillitsnivå hög enligt eIDAS-förordningen kan utformas och tillhandahållas av Myn- digheten för digital förvaltning (Digg). Utredningen ska vidare lämna förslag på vilken eller vilka myndigheter som ska ansvara för grund- identifieringen vid utfärdandet av en statlig e-legitimation och vilka kontroller av identitet som ska genomföras vid en sådan grundidenti- fiering, samt analysera om det bör ställas krav på förlitande parter som tillhandahåller digitala tjänster inom offentlig sektor att acceptera alla e-legitimationsalternativ på marknaden förutsatt att de lever upp till den tillitsnivå som tjänsterna kräver. Utredningen ska även lämna nöd- vändiga författningsförslag.

I delredovisningen den 16 oktober 2023 ska uppdraget att föreslå hur staten kan utfärda en e-legitimation på högsta tillitsnivå ingå.

Uppdraget att analysera och föreslå förändringar som följer av revi- sionen av eIDAS-förordningen ska slutredovisas den 31 maj 2024.

Utredningens direktiv finns bifogade till delbetänkandet i bilaga 1.

53

Utredningens uppdrag och arbete

SOU 2023:61

2.2Utredningens arbete

Utredningsarbetet påbörjades i januari 2023. Under utredningstiden har vi hittills haft tre sammanträden med sakkunnig- och expert- gruppen.

Frågan om tillhandahållande av statlig e-legitimation har tidigare utretts av både myndigheter och statliga utredningar. Vi har tagit del av detta skriftliga material och andra relevanta underlag. I synnerhet den rapport som Digg utifrån ett regeringsuppdrag publicerade i janu- ari 2023 om hur en statlig e-legitimation kan utformas. Utredningen ska enligt direktiven beakta förslagen och de synpunkter som fram- kommit inom ramen för regeringsuppdraget.

För att komplettera det skriftliga underlaget har vi vidare genom- fört ett 20-tal möten och samtal med aktörer i offentlig förvaltning, intresseorganisationer och utfärdare av privata e-legitimationer.

I syfte att inhämta synpunkter från en bredare grupp av myndig- heter samt berörda privata aktörer och organisationer har vi även genomfört två digitala möten med öppen anmälan. Mötena hölls i mars 2023. Vid mötet för representanter för offentlig förvaltning och in- tresseorganisationer medverkade cirka 60 deltagare och vid mötet med privata aktörer cirka 40 deltagare.

Vi har enligt våra direktiv haft att beakta relevant arbete som be- drivs inom Regeringskansliet och utredningsväsendet samt särskilt beakta det arbete som bedrivs hos Digg. Vi har under utredningstiden haft flera möten och kontakter med Digg. Vi har även haft kontakt med flera statliga utredningar, däribland Postfinansieringsutredningen (I 2020:03) och Utredningen om interoperabilitet vid datadelning

(I 2022:03).

Visst underlag till konsekvensutredningen har tagits fram av Governo AB på vårt uppdrag.

2.3Utredningens prioriteringar

I relation till den begränsade tid vi haft till förfogande har vi valt att prioritera frågor som enligt vår bedömning är de mest centrala för att skapa förutsättningar för att en statlig e-legitimation på den högsta tillitsnivån kan tillhandahållas inom den tid som kraven i den kom- mande reviderade eIDAS-förordningen förväntas medföra.

54

SOU 2023:61

Utredningens uppdrag och arbete

2.4Delbetänkandets disposition

I kapitel 3 definieras några för delbetänkandet centrala begrepp och termer.

I kapitel 4 redogörs för e-legitimationsområdet i Sverige. Kapitel 5 innehåller en översiktlig internationell utblick.

Ikapitel 6 beskrivs varför en statlig e-legitimation behövs. Kapitel 7 innehåller utredningens överväganden och förslag. I kapitel 8 redogör vi för konsekvenserna av våra förslag.

I kapitel 9 behandlas ikraftträdande och i kapitel 10 finns författ-

ningskommentarerna.

55

3Definitioner av vissa centrala begrepp och termer

3.1Identitet

Det finns inte någon legaldefinition av begreppet identitet. Vad gäller identitetsbegreppet som sådant kan det i vissa sammanhang ha en sub- jektiv dimension, exempelvis en persons självbild.1 Det kan här även noteras att begreppet identitet också används i förhållande till objekt med koppling till t.ex. sakernas internet och robotiserade processer.2 I detta betänkande avses emellertid med identitet endast viss informa- tion rörande en person som är att anse som objektiva fakta.

I ärenden om svenskt medborgarskap har i rättspraxis uttalats att sådana objektiva fakta om identiteten består av sökandens namn, födel- setid och, som huvudregel, medborgarskap.3 I förarbetena till lagen (2022:1697) om samordningsnummer anges att det är tillräckligt för tilldelning av samordningsnummer att uppgift om personens namn, födelsetid och medborgarskap är styrkta och också kan kopplas till en fysisk person.4

3.2Identitetshandling

En identitetshandling används för att en person ska kunna identifiera sig, eller styrka sin identitet. En identitetshandling innehåller alltså, om de utfärdats på ett säkert sätt, ofta de uppgifter om en person som behövs för att fastställa dennes identitet. I många identitets- handlingar lagras dessutom biometriska uppgifter som kan användas

1Id-kort för folkbokförda i Sverige (SOU 2007:100), s. 25.

2Se t.ex. Inera, IAM Strategi Med kommunernas behov i fokus, 5 maj 2020, s. 8.

3Migrationsöverdomstolens avgörande MIG 2019:18.

4Prop. 2021/22:276 s. 55 f.

57

Definitioner av vissa centrala begrepp och termer

SOU 2023:61

för att kontrollera handlingens äkthet och innehavarens identitet.5 Begreppet identitetshandling får enligt vår bedömning anses vara tek- nikneutralt och kan avse både en fysisk identitetshandling eller en e-legitimation. I betänkandet används även begreppen id-handling eller id-kort. När samlingsbegreppet statliga identitetshandlingar an- vänds avses det nationella identitetskortet, Skatteverkets identitets- kort för folkbokförda samt i tillämpliga fall pass.

3.3Identitetsbeteckningar

I Sverige finns två identitetsbeteckningar för fysiska personer som används i folkbokföringsverksamheten och i samhället i övrigt; per- sonnummer och samordningsnummer.

Personnummer är enligt 18 § folkbokföringslagen (1991:481) avsett att utgöra en identitetsbeteckning för varje folkbokförd person. Även om personen skulle avregistreras från folkbokföringen, exempelvis vid utflyttning, behåller personen sitt personnummer. Personnumret och den historiska informationen som är kopplad till detta finns kvar i folkbokföringsdatabasen.

För att upprätthålla tilltron till personnumret som identifikations- begrepp är det reserverat för personer som är folkbokförda (se mer om personnummer i avsnitt 7.4.2).

Personer som inte är folkbokförda i Sverige kan under vissa för- utsättningar tilldelas ett samordningsnummer av Skatteverket.6

På motsvarande sätt som personnummer är samordningsnummer unika såtillvida att två identiska samordningsnummer inte förekom- mer. Om en person med ett samordningsnummer senare blir folkbok- förd ersätts samordningsnumret med ett personnummer. Individens koppling till samordningsnumret finns emellertid kvar i registret. Den huvudsakliga regleringen av samordningsnummer finns i lagen om samordningsnummer som trädde i kraft i september 2023 (se mer om samordningsnummer och den nya lagen i avsnitt 7.4.2).

Personnummer och samordningsnummer utgör inte känsliga per- sonuppgifter i dataskyddsförordningens mening, men behandlingen av dessa uppgifter omfattas genom nationell lagstiftning av särskilda villkor (se mer om detta i avsnitt 7.11.8).

5Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57), s. 199.

6Denna identitetsbeteckning har motiverats av risken för personförväxling och behovet av en säker kommunikation mellan myndigheter, se prop. 1997/98:9 s. 78 ff.

58

SOU 2023:61

Definitioner av vissa centrala begrepp och termer

Det kan här noteras att i förordning (EU) 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, här- efter kallad eIDAS-förordningen, används begreppet personidentifier- ingsuppgift i stället för identitetsbeteckning. I artikel 3.3 definieras per- sonidentifieringsuppgifter som en uppsättning uppgifter som gör det möjligt att fastställa identiteten på en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person. Det rör sig så- ledes bl.a. om identitetsbeteckningar för att identifiera en fysisk person och det kan exempelvis vara ett personnummer, samordningsnummer eller annan unik identifierare i form av exempelvis en tjänsteidentitet.

3.4Identifiering och autentisering

Av artikel 3.1 i eIDAS-förordningen framgår att elektronisk identifie- ring är en process inom vilken personidentifieringsuppgifter i elek- tronisk form, som unikt avser en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person, används.

I artikel 3.5 i eIDAS-förordningen definieras autentisering som en elektronisk process som gör det möjligt att bekräfta den elektro- niska identifieringen för en fysisk eller juridisk person, eller ursprunget för och integriteten hos uppgifter i elektronisk form. Svenska data- termgruppen definierar autentisering som kontroll av uppgiven iden- titet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelande mellan användare.7 Internetstiftelsen å sin sida definierar autentisering som att helt enkelt kunna visa upp och styrka sin identitet för en annan part.8

Det förekommer flera olika metoder av autentisering. I samband med autentisering brukar det talas om en-, två- eller flerfaktorsauten- tisering. Användning av lösenord eller PIN-kod brukar ses som en- faktorsautentisering som baseras på något en person vet eller kan. Med dessa metoder går det egentligen bara att veta att lösenordet och PIN-koden används, men inte av vem.

Tvåfaktorsautentisering kan vara en kombination av lösenord, dvs. något som personen kan, med något som personen har, exempelvis ett smartkort eller en applikation i en mobiltelefon, alternativt i kom-

7www.termado.com/DatatermSearch/?ss=autentisering (hämtad 2023-03-26).

8internetstiftelsen.se/guide/digitala-identiteter/ordlista/ (hämtad 2023-03-26).

59

Definitioner av vissa centrala begrepp och termer

SOU 2023:61

bination med någon form av inloggning med biometrisk avläsning, t.ex. med fingeravtryck. Även andra autentiseringslösningar kan an- vändas såsom koddosor, USB-stickor, engångslösenord via sms m.m.

Ett annat begrepp som förekommer med koppling till autenti- sering är stark autentisering. Med stark autentisering avses ofta kon- troll av en identitet på två eller flera olika sätt.9

3.5E-legitimation

Begreppen e-legitimation och elektronisk identitetshandling före- kommer inte i eIDAS-förordningen. Där används i stället medel för elektronisk identifiering som i artikel 3.2 definieras som en materiell och/eller immateriell enhet som innehåller personidentifieringsupp- gifter och som används för autentisering för nättjänster.

Med begreppet e-legitimation avses en identitetshandling som kan användas för att identifiera innehavaren på elektronisk väg. Med hjälp av en e-legitimation kan innehavaren identifiera sig och myndigheter eller andra aktörer som har digitala tjänster få en bekräftelse på vem personen är. En e-legitimation innehåller, liksom en fysisk identitets- handling, uppgifter som entydigt kan kopplas till en viss person.10

Alla former av medel för elektronisk identifiering kan således inte anses utgöra en e-legitimation utan det krävs att det rör sig om en handling som har en både tydlig och säker koppling till innehavarens identitet. Detta sker vanligtvis, men inte uteslutande, genom en certi- fikatbaserad lösning.

En e-legitimation kan finnas som en applikation i en mobiltelefon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, såsom ett smartkort. Kortet innehåller då ett chip där informationen lagras.11

Utredningen om effektiv styrning av nationella digitala tjänster använde begreppet elektronisk identitetshandling i stället för e-legiti- mation. Anledningen var enligt utredningen att en identitetshandling syftar till att visa en individs identitet och används för att kontrollera att individen är den som han eller hon utger sig för att vara medan be-

9Se t.ex. definitionen av stark autentisering i 2 kap. Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) och 1 kap. 4 § lagen (2010:751) om betaltjänster.

10Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 129.

11Ibid.

60

SOU 2023:61

Definitioner av vissa centrala begrepp och termer

greppet legitimation säger något om personens behörighet. Utred- ningen menade att begreppet e-legitimation är missvisande eftersom det antyder att det rör sig om uppgifter som utvisar både identitet och behörighet.12

2017 års ID-kortsutredning använde emellertid begreppet e-legiti- mation med motiveringen att det är ett inarbetat begrepp som bl.a. används i det tillitsramverk som Myndigheten för digital förvaltning ansvarar för och som gäller för det kvalitetsmärke som för närvarande benämns Svensk e-legitimation (se mer om tillitsramverket och kvali- tetsmärket i avsnitt 4.3). Utredningen noterade vidare att det även är det begrepp som huvudsakligen används av de nuvarande svenska ut- färdarna av e-legitimationer.13

Vi delar den bedömning som gjordes av 2017 års ID-kortsutredning och använder oss därför av begreppet e-legitimation i betänkandet.

Vad gäller författningstext är dock medel för elektronisk identi- fiering det uttryck som används både i eIDAS-förordningen och natio- nella författningar. I författningsförslagen kommer därför detta be- grepp att användas i stället för e-legitimation.

3.6E-tjänstelegitimation

En e-tjänstelegitimation är en e-legitimation för den som tjänstgör vid eller innehar uppdrag för en organisation och som anskaffats av organisationen. En e-tjänstelegitimation kan utöver identitetsuppgifter även innehålla uppgifter om användarens anställning och/eller behö- righet. Den kan både finnas i en applikation eller på en fysisk bärare.14

3.7Grundidentifiering

Uttrycket grundidentifiering, som inte förekommer i några författ- ningar, används ofta för den identitetskontroll som sker i samband med utfärdandet av en id-handling.

12reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 171 f.

13Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 129 f.

14Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62), s. 46 f.

61

Definitioner av vissa centrala begrepp och termer

SOU 2023:61

Utredningen om effektiv styrning av nationella digitala tjänster analyserade några av de befintliga grundidentifieringsprocesserna.15 Av genomgången framgick att processerna skilde sig åt och att olika krav ställs inför utfärdande av olika identitetshandlingar. Detta gällde såväl för de fysiska identitetshandlingar som staten respektive privata aktörer utfärdade som för e-legitimationer.16 I nästan alla processer gällde att individen ska styrka sin identitet. Då handlade det om att sammanföra registrerade uppgifter om en viss individ med en viss fysisk person. Med registrerade uppgifter avsågs framför allt sådana uppgifter som framgår av folkbokföringsregistret. Sättet som indi- viden kunde styrka sin identitet på skilde sig åt. Hade individen redan en viss sorts identitetshandling var den ofta tillräcklig för att styrka identiteten. Om individen saknade en identitetshandling av visst be- stämt slag krävdes att andra personer med vissa närmare angivna kopp- lingar till individen intygade dennes identitet.17

Det som skilde de olika identitetshandlingarna åt var primärt an- söknings- och utlämnandeprocessen. Där ställdes i många fall krav på att individen ska inställa sig personligen hos den utfärdande aktö- ren vid såväl ansökan som utlämnande. I vissa fall fanns det dock inga sådana krav, exempelvis var det möjligt att hämta ut ett körkort via ett postombud.18 Ytterligare en skillnad var hur uppgifter om individen dokumenteras, dvs. i vissa fall ansvarade utfärdaren för att fotogra- fera eller ta fingeravtryck av individen, i andra fall kunde individen ta med sig eller skicka in ett fotografi som hade tagits av annan men som ofta skulle uppfylla vissa kriterier. Utredningen bedömde att det inte är alla processer som leder fram till identitetshandlingar som grundar sig på utförd grundidentifiering. För att en process ska inne- hålla grundidentifiering bedömde utredningen att vissa styrande prin- ciper skulle vara uppfyllda. Dessa principer var att

156 § passlagen (1978:302), 3 § andra stycket förordningen (2005:661) om nationellt identitets- kort, 2 § lagen (2015:899) om identitetskort för folkbokförda i Sverige, 3 kap. 15 § körkorts- förordningen (1998:980) samt processen vid utfärdande av BankID.

16reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 173 ff.

17Skatteverkets föreskrifter om identitetskort, SKVFS 2009:14 och Rikspolisstyrelsens före- skrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitets- kort, RPSFS 2009:14, FAP 530-1.

188 kap. 3 § körkortsförordningen (1998:980) samt Transportstyrelsens föreskrifter om utläm- nande av körkort, TSFS 2014:17.

62

SOU 2023:61

Definitioner av vissa centrala begrepp och termer

ansökan om en identitetshandling måste göras vid ett personligt besök hos den utfärdande aktören,

individen ska styrka sin identitet på ett tillförlitligt sätt,

den utfärdande aktören ansvarar för att dokumentera fysiska känne- tecken genom att åtminstone ta ett fotografi av individen, och

identitetshandlingen ska lämnas ut vid ett personligt besök hos utfärdaren.19

Med grundidentifiering avser vi, i likhet med det som redovisas ovan, ett förfarande som leder fram till att en identitetshandling utfärdas, innefattande en process i vilken det ingår personlig inställelse för sökanden vid såväl ansökan om som utlämnandet av identitetshand- lingen, att sökanden styrker sin identitet på ett tillförlitligt sätt, och att vissa fysiska kännetecken av sökanden dokumenteras. Vi redogör för vikten av en säker grundidentifiering i våra förslag i kapitel 7.

3.8Identitetsintygsutfärdare och identitetsintyg

Identitetsintygsutfärdare är den som utfärdar identitetsintyg. Ett iden- titetsintyg är ett av en identitetsintygsutfärdare utställt intyg i elek- tronisk form med uppgifter om en användares identitet och eventuella attribut.20 Identitetsintyget utfärdas till en förlitande part och kan endast användas vid ett tillfälle. Utfärdande av identitetsintyg sker ibland av e-legitimationsutfärdaren, men det förekommer också att identitetsintyget utfärdas av en separat identitetsintygsutfärdare.

3.9Id-växling

Med id-växling avses i betänkandet när en e-legitimation, som ut- färdas efter en grundidentifiering, kan utgöra underlag vid utfärdande av andra e-legitimationer.21 Id-växling kan emellertid också förekomma i andra sammanhang.

19reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 175 ff.

20E-legitimationsnämnden och Svensk e-legitimation (SOU 2010:104), s. 173.

21Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 321.

63

Definitioner av vissa centrala begrepp och termer

SOU 2023:61

3.10Certifikat

I eIDAS-förordningen definieras i artikel 3.14 och 3.29 certifikat som ett intyg som kopplar valideringsuppgifter för en elektronisk under- skrift eller en elektronisk stämpel till en fysisk person respektive juridisk person och bekräftar åtminstone namnet eller pseudonymen på den personen. Annorlunda uttryckt kan ett certifikat beskrivas som ett elektroniskt intyg som bl.a. innehåller uppgifter som möjliggör validering av t.ex. en elektronisk underskrift eller elektronisk stämpel. Certifikat är även, vad avser autentisering av webbplatser, ett intyg som gör det möjligt att autentisera en webbplats och koppla webb- platsen till den fysiska eller juridiska person som certifikatet utfär- dats för.

3.11Förlitande part

En förlitande part är enligt artikel 3.6 i eIDAS-förordningen en fysisk eller juridisk person som förlitar sig på en elektronisk identifiering eller betrodda tjänster. Med andra ord är den förlitande parten exem- pelvis den aktör som tillhandahåller en digital tjänst där åtkomst ges efter att identifiering skett med en e-legitimation.

64

4 E-legitimationsområdet i Sverige

4.1Grundläggande tekniska funktioner

Det finns olika sätt att identifiera en användare. Exempelvis genom användning av certifikat (Public Key Infrastructure [PKI]), via an- vändning av engångslösenord eller med symmetrisk kryptering som en koddosa för autentisering till en identitetsintygsutfärdare. Utfär- daren använder sedan autentiseringen för att ställa ut ett identitets- intyg som innehåller en användares elektroniska identitet och attribut där ett attribut skulle kunna vara ett personnummer. Identitetsintyget kan vidare innehålla uppgifter om tillitsnivå avseende det enskilda iden- titetsintyget.

När en användare använder en e-legitimation hos en förlitande part sker det i ett flöde. I det flödet förekommer flera olika moment som kan utföras av olika aktörer. Flödet består av anvisningstjänst, identi- tetsintygsutfärdare, legitimeringstjänst, e-legitimationsutfärdare och behörighetskontrolltjänst.

Anvisningstjänst används i samband med inloggning till digitala tjänster när tjänsterna tillåter användning av flera olika e-legitimationer från flera olika e-legitimationsutfärdare. Tjänsten låter en användare välja vilken e-legitimation den vill använda. I legitimeringstjänsten legitimerar sig användaren genom att använda sin e-legitimation, t.ex. ange koden för att använda nyckeln på ett smartkort eller en mobil e-legitimation. Tjänsten kontrollerar e-legitimationen och skickar vidare resultatet till identitetsintygsutfärdaren. Utfärdare av iden- titetsintyg tar emot och kontrollerar legitimeringen som skett av legitimeringstjänsten mot utfärdaren av e-legitimationer. Därefter utfärdas identitetsintyget som stämplas elektroniskt av identitets- intygsutfärdaren så att förlitande part kan kontrollera intygets äkthet. Den förlitande partens digitala tjänst kan vid behov kontrollera be-

65

E-legitimationsområdet i Sverige

SOU 2023:61

hörighetsinformation som finns i den digitala tjänstens register eller i förekommande fall hämta det från en behörighetskontrolltjänst.

4.2eIDAS-förordningen

4.2.1Förordningens innehåll

Inom EU finns bestämmelser om elektronisk identifiering framför allt i eIDAS-förordningen. Förordningen innehåller även bestäm- melser om betrodda tjänster.1

I detta avsnitt följer en redogörelse över de bestämmelser i för- ordningen som vi anser är av relevans för frågeställningarna i betän- kandet. Det är inte en fullständig redogörelse för förordningens be- stämmelser om elektronisk identifiering och betrodda tjänster.

I skrivande stund pågår förhandlingar om ett förslag till revidering av eIDAS-förordningen (se avsnitt 4.2.7).

4.2.2Bestämmelser om elektronisk identifiering

Förordningens syfte vad gäller elektronisk identifiering är att säker- ställa en väl fungerande inre marknad och uppnå en lämplig säkerhets- nivå för medel för elektronisk identifiering. Medel för elektronisk identifiering definieras i artikel 3.2 som en materiell och/eller immate- riell enhet som innehåller personidentifieringsuppgifter och som an- vänds för autentisering för nättjänster. E-legitimationer är ett medel för elektronisk identifiering och vi använder oss för enkelhetens skull fortsättningsvis av begreppet e-legitimationer i möjligaste mån. Det kan dock inte uteslutas att medel för elektronisk identifiering om- fattar även andra lösningar för autentisering än e-legitimationer.

I förordningen används vidare termen system för elektronisk iden- tifiering, som i artikel 3.4 definieras som ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person. I det fortsatta kallar vi dessa system för e-legitima- tionssystem för att inte göra texten onödigt svårläst.

1Betrodda tjänster är enkelt uttryckt elektroniska tjänster som erbjuder vissa utpekade funk- tioner kopplade till elektroniska underskrifter, elektroniska stämplar, elektroniska tidsstämp- lingar eller certifikat för autentisering av webbplatser. Dessutom är elektroniska tjänster för rekommenderade leveranser betrodda tjänster i sig.

66

SOU 2023:61

E-legitimationsområdet i Sverige

Förordningen reglerar vad som gäller när e-legitimationer används över landsgränserna inom EU genom att dels ställa krav på e-legitima- tionerna, dels ställa krav på medlemsstaterna att erkänna e-legitima- tioner från andra medlemsstater. Förordningen gäller enligt artikel 2.1 e-legitimationssystem som har anmälts av en medlemsstat och enligt skäl 12 i förordningens ingress syftar förordningen till att undanröja hinder för gränsöverskridande användning av e-legitimationer som används i medlemsstaterna för autentisering för åtminstone offentliga tjänster. Däremot är syftet med förordningen enligt samma skältext inte att ingripa i fråga om e-legitimationssystem och tillhörande infra- strukturer som inrättats i medlemsstaterna. Förordningen ska således inte tolkas som att den ställer krav på e-legitimationer som endast an- vänds nationellt, kraven på e-legitimationerna aktualiseras först när de ska användas över landsgränserna.

4.2.3Anmälan av e-legitimationssystem för gränsöverskridande användning

För att e-legitimationer ska kunna användas i andra medlemsstater krävs att medlemsstaten där e-legitimationen har sitt ursprung har anmält det aktuella e-legitimationssystemet. Ett system får anmälas om det uppfyller ett antal krav som föreskrivs i artikel 7 i förord- ningen. Det är endast medlemsstater som kan anmäla system, men det behöver inte vara medlemsstaten som utfärdar e-legitimationerna i systemet. E-legitimationerna kan vara utfärdade av den anmälande medlemsstaten, på uppdrag av den anmälande medlemsstaten eller oberoende av den anmälande medlemsstaten men erkännas av med- lemsstaten.

En anmälan delas in i tre steg. Det första steget är s.k. föranmälan. Under detta steg förser den anmälande medlemsstaten andra medlems- stater med information om det system som anmäls.

Nästa steg är en sakkunnigbedömning. Under detta steg bedöms kvaliteten och säkerheten i det anmälda systemet utifrån kraven i eIDAS-förordningen och aktuell genomförandeförordning. Bedöm- ningen genomförs av andra medlemsstater och avslutas med ett ut- låtande som antas av samtliga medlemsstater.

Det sista steget är formell anmälan och publicering i EU:s officiella tidning.

67

E-legitimationsområdet i Sverige

SOU 2023:61

Sverige har tre e-legitimationer som är föranmälda och granskade av andra medlemsstater. En av dessa e-legitimationer, Freja+, är an- mäld och kan därmed användas för gränsöverskridande e-legitimering inom EU.

Med anmälan av e-legitimationssystem följer ansvar för medlems- staten. Om säkerhetsincidenter inträffar, exempelvis intrång, som på- verkar tillförlitligheten i systemets gränsöverskridande autentisering ska den anmälande medlemsstaten enligt artikel 10.1 utan dröjsmål till- fälligt upphäva eller återkalla den gränsöverskridande autentiseringen eller de berörda utsatta delarna i systemet samt informera andra med- lemsstater och EU-kommissionen. Medlemsstaten åläggs enligt arti- kel 11.1 även skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla vissa skyldigheter. Skyldigheterna relaterar bl.a. till att medlemsstaten ska se till att den aktuella fysiska eller juri- diska personen tillskrivs de personidentifieringsuppgifter som unikt representerar personen.

Enligt artikel 7 e ska den part som utfärdar e-legitimationer inom ett anmält system se till att legitimationerna tilldelas rätt person i enlig- het med de tekniska specifikationer, standarder och förfaranden som gäller för den relevanta tillitsnivån. Om utfärdaren avsiktligt eller på grund av oaktsamhet genom underlåtenhet inte uppfyller denna skyl- dighet är utfärdaren enligt artikel 11.2 ansvarig för skada som åsamkats en fysisk eller juridisk person vid en gränsöverskridande transaktion.

4.2.4Förordningens tre tillitsnivåer

Förordningen fastställer tre tillitsnivåer för de e-legitimationer som ut- färdats inom ett e-legitimationssystem: låg, väsentlig och hög. Tillits- nivåerna bör enligt skäl 16 i förordningens ingress återge graden av tillit till en e-legitimation vid fastställande av en persons identitet och skapa visshet om att den person som gör anspråk på en viss identitet faktiskt är den person som har tilldelats denna identitet.

Tillitsnivån låg ska ge en begränsad grad av tillförlitlighet avseende en persons påstådda eller styrkta identitet och nivån väsentlig ska ge en väsentlig grad av tillförlitlighet. Tillitsnivån hög ska ge en högre grad av tillförlitlighet än tillitsnivån väsentlig avseende en persons påstådda eller styrkta identitet.

68

SOU 2023:61

E-legitimationsområdet i Sverige

Vår bedömning är att tillitsnivåerna genom förordningen är full- harmoniserade vid gränsöverskridande användning av e-legitimationer. Detta mot bakgrund av förordningens syfte att undanröja hinder för gränsöverskridande användning av e-legitimationer som används i medlemsstaterna för autentisering för åtminstone offentliga tjänster.

Förordningen ger inte uttryck för att medlemsstaterna har möjlig- het att ställa andra krav på tillit för tillgång till sina nättjänster vid gränsöverskridande autentisering. Som framgår ovan syftar förord- ningen inte till att ingripa i fråga om e-legitimationssystem och till- hörande infrastrukturer som inrättats i medlemsstaterna. Det är när e-legitimationer som ingår i systemen ska användas över gränserna som förordningens bestämmelser aktualiseras. Det bör därmed vara möjligt för medlemsstaterna att t.ex. tillämpa nationella tillitsnivåer, något förordningen för övrigt tar höjd för. Dessa bör emellertid i så fall endast kunna tillämpas vid nationell användning av e-legitimationer.

Enligt skäl 16 i förordningens ingress beror tillitsnivån på den grad av tillit en e-legitimation ger i fråga om en persons påstådda eller styrkta identitet med beaktande av olika processer (t.ex. styrkande och kontroll av identitet, och autentisering), förvaltningsverksamhet (t.ex. den enhet som utfärdar e-legitimationer och förfaranden för att utfärda sådana medel) och de tekniska kontroller som tillämpas. I kommissionens genomförandeförordning (EU) 2015/1502 fastställs tekniska minimispecifikationer och förfaranden för respektive tillits- nivå. Dessa ska användas för att specificera tillitsnivån för e-legitima- tioner som utfärdats inom ett anmält e-legitimationssystem.

Specifikationerna och förfarandena bygger på den internationella standarden ISO/IEC 29115. Utöver de delar som nämns ovan avser de bl.a. också krav på effektiva ledningssystem för informations- säkerhet.

4.2.5Den offentliga förvaltningen ska erkänna utländska e-legitimationer

För att uppnå förordningens syfte innehåller den bestämmelser om s.k. ömsesidigt erkännande av e-legitimationssystem. Det kan kort- fattat beskrivas som att medlemsstaterna ska erkänna varandras an- mälda system. I artikel 6 i förordningen föreskrivs att när det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs elektronisk identifiering där e-legitimationer och autentisering används

69

E-legitimationsområdet i Sverige

SOU 2023:61

för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, ska de e-legitimationer som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gräns- överskridande autentisering för tjänsten. Begreppet nättjänst definieras inte i förordningen men tjänster som vi i Sverige vanligen kallar för digitala tjänster eller e-tjänster omfattas.

För att ömsesidigt erkännande ska bli aktuellt krävs dock att tre förutsättningar är uppfyllda:

E-legitimationen ska vara utfärdad inom ramen för ett anmält e-legi- timationssystem.

Tillitsnivån för e-legitimationen ska motsvara en tillitsnivå som är lika hög eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till nättjänsten, förutsatt att tillitsnivån för e-legitimationen motsvarar tillitsnivån väsentlig eller hög.

Det offentliga organet i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till nättjänsten.

Förordningens krav på ömsesidigt erkännande gäller inte för e-legiti- mationer på tillitsnivå låg eller för nättjänster som använder tillitsnivå låg för åtkomst. För anmälda e-legitimationer som motsvarar tillits- nivån låg gäller i stället att dessa får erkännas av det offentliga organ som tillhandahåller nättjänsten, men det är inget krav.

Erkännandet av e-legitimationssystem ska ske senast tolv månader efter det att kommissionen offentliggör förteckningen över anmälda system. Det kan i sammanhanget noteras att trots kravet på erkän- nande av anmälda medel för elektronisk identifiering innebär det inte att den som loggat in på detta sätt i praktiken alltid har möjlighet att använda tjänsterna. Det är vanligt att den som använder en utländsk e-legitimation för att logga in i en svensk digital tjänst i dagsläget hamnar i ett s.k. digitalt väntrum där det inte går att utföra det för- farande tjänsten avser. Detta är en följd av att många digitala tjänster inom den offentliga förvaltningen ställer krav på användning av exem- pelvis personnummer. Även om innehavaren av den utländska e-legiti- mationen har ett svenskt personnummer finns det ingen koppling mellan den utländska e-legitimationen och personnumret som möjlig- gör att tjänsten kan användas.2

2Skatteverket, Fördjupad utredning rörande koppling mellan utländska eID-handlingar och svenska identitetsbeteckningar (Dnr 2 02 27351-19/113), s. 31.

70

SOU 2023:61

E-legitimationsområdet i Sverige

Det kommer dock för vissa digitala tjänster att förändras i och med att krav i EU-förordningen (EU) 2018/1724 om en gemensam digital ingång börjar gälla. Kraven innebär bl.a. att användare i gränsöver- skridande situationer ska kunna identifiera sig samt underteckna eller stämpla handlingar på elektronisk väg i enlighet med eIDAS-förord- ningen.

4.2.6Kvalificerade elektroniska underskrifter

Utredningen ska enligt direktiven analysera om den statliga e-legiti- mationen ska kunna användas för att framställa kvalificerade elektro- niska underskrifter. Elektroniska underskrifter är en betrodd tjänst som regleras i eIDAS-förordningen. Det finns tre nivåer av elektro- niska underskrifter i eIDAS-förordningen. De två högre nivåerna är avancerade respektive kvalificerade elektroniska underskrifter.

I artikel 3 i eIDAS-förordningen definieras en kvalificerad elektro- nisk underskrift som en avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftsframställning och som är baserad på ett kvalificerat certifikat för elektroniska under- skrifter.

Kraven på kvalificerade elektroniska underskrifter innebär att den som ska tillhandahålla tjänsten ska vara en kvalificerad tillhandahållare av betrodda tjänster och att den betrodda tjänsten är kvalificerad. För att bli en kvalificerad tillhandahållare ska denne anmäla sig till en till- synsmyndighet och tillsammans med anmälan bifoga en rapport från en bedömning av överensstämmelse som har gjorts av ett ackrediterat organ för bedömning av överenstämmelse. Organet för bedömning av överenstämmelse ska granska att tillhandahållaren och den tjänst som den tillhandahåller uppfyller de krav som finns i eIDAS-förord- ningen. De krav som ska följas i förordningen är de allmänna krav som gäller för tillhandahållare och betrodda tjänster och de specifika krav som finns för tjänsten kvalificerade elektroniska underskrifter.

De allmänna kraven gäller t.ex. de allmänna säkerhetskraven och kraven på incidentrapportering i artikel 19, kraven på granskning och periodicitet på omgranskning av tillhandahållare och tjänst i artikel 20 och krav på att ha tillräckliga ekonomiska medel eller ansvarsförsäkring för att bära risken för skadestånd enligt artikel 13 samt att enligt

71

E-legitimationsområdet i Sverige

SOU 2023:61

artikel 24 ha en plan för att säkerställa kontinuitet i händelse av upp- hörande av tjänsten.

4.2.7Revidering av eIDAS-förordningen

EU-kommissionen presenterade den 3 juni 2021 ett förslag till änd- ringar i eIDAS-förordningen.3 De föreslagna ändringarna bestod dels av att nuvarande bestämmelser justeras eller tas bort, dels av att nya bestämmelser införs.

Vad gäller elektronisk identifiering föreslog kommissionen bl.a. att en europeisk digital identitetsplånbok ska införas. En digital iden- titetsplånbok är enligt den föreslagna definitionen en produkt och en tjänst som låter användaren spara identitetsuppgifter och attribut rö- rande t.ex. kvalifikationer samt attribut som är kopplade till använ- darens identitet. Enligt förslaget ska medlemsstaterna utfärda plån- böckerna till fysiska och juridiska personer. De kan också utfärdas på uppdrag av medlemsstaterna eller självständigt, och erkännas av medlemsstaterna.

De föreslagna plånböckerna ska accepteras av medlemsstaterna för åtkomst till nättjänster som tillhandahålls av myndigheter. Privata förlitande parter inom vissa utpekade sektorer ska också acceptera dem för åtkomst till sina digitala tjänster, under förutsättning att tjänsten omfattas av krav på att använda stark autentisering. Enligt skäl 9 i för- ordningsförslagets ingress föreslås plånböckerna kunna användas för institutionella behov hos bl.a. offentliga förvaltningar och internatio- nella organisationer.

Vid sidan av den digitala identitetsplånboken föreslog EU-kom- missionen även ändringar kopplade till anmälan av system för elektro- nisk identifiering.

Rådets kompromissförslag antogs den 6 december 2022 och utgör medlemsländernas utgångspunkt i trilogen. En av de ändringar som rådet föreslog är att alla medlemsstater ska anmäla minst ett system för elektronisk identifiering som omfattar minst ett medel för identi- fiering på tillitsnivå hög.4

3COM(2021) 281 final.

4Ständiga representanternas kommitté (Coreper I), 25 november 2022, Förslag till Europa- parlamentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet – Allmän riktlinje.

72

SOU 2023:61

E-legitimationsområdet i Sverige

Europaparlamentet presenterade därefter sina ståndpunkter i mars 2023.

Den 29 juni 2023 presenterade Europaparlamentet och rådet en preliminär politisk överenskommelse om de viktigaste elementen i förslaget som utgör inriktningen i de avslutande trilogerna under hös- ten 2023.5

4.3Tillitsramverket för Svensk e-legitimation

Myndigheten för digital förvaltning (Digg) utvecklar och förvaltar tillitsramverket för Svensk e-legitimation med stöd av regleringen i lagen (2013:311) om valfrihetssystem i fråga om tjänster för elek- tronisk identifiering samt 3 § förordningen (2018:1486) med instruk- tion för Myndigheten för digital förvaltning där det framgår att Digg ska främja användningen av elektronisk identifiering. Ramverket syftar till att etablera gemensamma krav för utfärdare av kvalitetsmärkta svenska e-legitimationer. Ramverket togs ursprungligen fram av E-legi- timationsnämnden, vars uppgifter övertogs av Digg i september 2018 i samband med inrättandet av myndigheten.

Utredningen om effektiv styrning av nationella digitala tjänster föreslog att det i lag skulle regleras att ramverket skulle vara en del av infrastrukturen för elektronisk identifiering och att kvalitetsmärket skulle regleras i samma lag. Förslaget bereds inom Regeringskansliet.6 Ramverket bygger på den internationella standarden ISO/IEC 29115, ISO/IEC 27000-serien och andra internationella ramverk, men

vissa nationella anpassningar har gjorts.

Iramverket fastställs krav som riktar sig mot utfärdare av e-legiti- mationer. Kraven avser bl.a. utfärdarens kontroller av att en person som tilldelas en e-legitimation verkligen är den som denne utger sig för att vara.

Kraven är indelade i tre olika tillitsnivåer; 2, 3 och 4.

Tillitsnivå 1 definieras i ISO/IEC 29115 men har ingen motsvarig- het i tillitsramverket eller i eIDAS-förordningens tillitsnivåer. Denna nivå kräver ingen legitimering, utan det räcker med att exempelvis ange namn och e-postadress.

5www.consilium.europa.eu/en/press/press-releases/2023/06/29/council-and-parliament-strike- a-deal-on-a-european-digital-identity-eid/ (hämtad 2023-09-22).

6reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 31 ff.

73

E-legitimationsområdet i Sverige

SOU 2023:61

Tillitsnivåerna 2–4 innebär minst tvåfaktorsautentisering, men gra- den av säker grundidentifiering och övrig skyddsnivå vid autentisering skiljer sig åt (se mer om detta nedan). Det är i normalfallet upp till förlitande part att avgöra vilken lägsta tillitsnivå som ska krävas för tillgång till en digital tjänst. Till stöd för denna bedömning finns vägledningar från bl.a. Digg och Myndigheten för samhällsskydd och beredskap.7 Grunden är informationsklassning i kombination med be- dömning av vilken skada en felaktig identifiering skulle kunna leda till. Vissa författningar och tillsynsbeslut ger också vägledning vad avser sådana bedömningar.

4.3.1Övergripande krav som avser utfärdares verksamhet

Övergripande krav på den verksamhet som utfärdare av e-legitima- tioner bedriver är bl.a. att de ska teckna och vidmakthålla för verksam- heten erforderliga försäkringar samt ha förmåga att bära risken för skadeståndsskyldighet. Utfärdare ska för de delar av verksamheten som berörs i tillitsramverket ha ett ledningssystem för informations- säkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av infor- mationssäkerhetsarbetet. Kravet rörande ledningssystemets mognads- grad ökar för högre tillitsnivåer. Ramverket innehåller också bl.a. krav på bakgrundskontroll innan personer antar vissa roller som är av sär- skild betydelse för säkerheten. Ett exempel på skillnader i krav för de olika nivåerna är att för nivå 3 och 4 ska utfärdare genom hela kedjan i utfärdandeprocessen säkerställa att separation av arbetsupp- gifter tilllämpas på ett sådant sätt att ingen på egen hand har möjlig- het att tillskansa sig en e-legitimation i en annan persons namn. Kraven är mindre krävande för nivå 2.

Ramverket innehåller även krav som avser teknisk säkerhet, exem- pelvis att elektroniska kommunikationsvägar som nyttjas i verksam- heten för överföring av känsliga uppgifter ska skyddas mot insyn, mani- pulation och återuppspelning.

7Myndigheten för digital förvaltning, Vägledning till uppfyllande av tillitsramverkets krav för kvali- tetsmärket Svensk e-legitimation och Myndigheten för samhällsskydd och beredskap, Vägledning

– säkerhetsåtgärder i informationssystem för statliga myndigheter (MSB2032).

74

SOU 2023:61

E-legitimationsområdet i Sverige

4.3.2Krav kopplade till ansökan och utfärdande

Ramverket innehåller ett antal krav som avser ansökan om en e-legi- timation och själva utfärdandet av e-legitimationen. Utfärdare ska föra register över anslutna användare och de tilldelade e-legitimationerna. De ska också tillhandahålla en spärrtjänst där användaren kan spärra sin e-legitimation.

Utfärdare ska kontrollera att uppgifter knutna till en ansökan om utfärdande av e-legitimation är fullständiga och stämmer överens med uppgifter som finns registrerade i ett officiellt register. Utfärdaren kan identifiera en sökande på distans med exempelvis en befintlig godkänd Svensk e-legitimation på minst samma tillitsnivå som den som ska ges ut, om avtalsvillkoren för den e-legitimationen tillåter det. Nivå 4 ställer ytterligare krav på e-legitimationens giltighetstid, för att bibe- hålla tillitsnivåns princip att personlig inställelse ska ske vart femte år. Distansidentifiering kan också göras på tillitsnivå 2 och 3 genom jämförelse av en giltig fullgod identitetshandling med sökandens an- siktsbild, där nivå 2 tillåter bildupptagning av identitetshandlingen medan nivå 3 kräver att handlingens äkthet och dess innehåll kan av- läsas maskinellt och verifieras på kryptografisk väg. Digg har samman- fattat tillitsnivå 2–4 på följande sätt.

Tillitsnivå 2

Användarens identitet verifieras genom att bevisa innehav av en tillhörighet som bara användaren kan antas förfoga över. Exempel kan vara kod som skickats i kodkuvert till sökandes folkbokför- ingsadress.

Användaren identifieras genom exempelvis engångslösenord från dosa eller mobiltelefon.

Det finns en viss tillit till identiteten, och krav på tvåfaktorsauten- tisering.

75

E-legitimationsområdet i Sverige

SOU 2023:61

Tillitsnivå 3

Användarens identitet verifieras på likvärdigt sätt som vid utgiv- ning av en fullgod svensk legitimationshandling. E-legitimationen kan utfärdas på distans om utfärdaren redan har identifierat mot- tagaren, t.ex. i samband med öppnandet av ett bankkonto eller vid en anställning.

Användaren identifieras genom exempelvis en skyddad app i en smarttelefon.

Det finns en hög tillit till identiteten, och krav på tvåfaktorsauten- tisering.

Tillitsnivå 4

Användarens identitet verifieras vid personligt besök genom en fullgod svensk legitimationshandling, både första gången och vid förnyelse vart femte år.

Användaren identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på t.ex. ett plastkort, en mobil- telefon eller en USB-enhet. Det finns en mycket hög tillit till iden- titeten, och krav på tvåfaktorsautentisering.

4.3.3Kvalitetsmärket Svensk e-legitimation

Utfärdare som har godkänts enligt tillitsramverket på tillitsnivå 3 eller 4 har möjlighet att teckna licensavtalet för Kvalitetsmärket Svensk e-legitimation. Syftet med märket är att offentliga och privata aktörer med digitala tjänster som kräver e-legitimation ska kunna lita på e-legitimationer som har märket och att användare ska kunna känna sig trygga med att det är en säker identitetshandling. En utfärdare som vill använda märket ansöker om det hos Digg som gör en granskning utifrån tillitsramverket och beslutar om utfärdaren lever upp till kraven. Beslutet avser vilken nivå den aktuella e-legitimations- lösningen lever upp till och publiceras på Diggs webbplats. Digg följer även upp de e-legitimationer som godkänts för att säkerställa efter- levnad över tid.

76

SOU 2023:61

E-legitimationsområdet i Sverige

4.4E-legitimationer på den svenska marknaden

4.4.1Inledning

Nedan redogörs för de utfärdare av e-legitimationer som i dagsläget finns på den svenska marknaden. E-tjänstelegitimationer omfattas inte av redogörelsen nedan.

4.4.2AB Svenska Pass

Skatteverkets identitetskort för folkbokförda i Sverige innehåller en e-legitimation som från och med september 2017 utfärdas av AB Svenska Pass (härefter Svenska Pass). Bolaget har avtal med Skatte- verket om att förse det fysiska id-kortet med en e-legitimation. Det innebär att det är Svenska Pass och inte Skatteverket som har det juri- diska ansvaret gentemot både innehavaren av e-legitimationen och de förlitande aktörer som ingått avtal med Svenska Pass. Svenska Pass e-legitimation kan endast användas för identifiering gentemot Skatte- verket och för att kunna använda e-legitimationen krävs en dator och en kortläsare.8

För att skaffa e-legitimationen måste den sökande vara folkbokförd i Sverige, ha fyllt 13 år och kunna legitimera sig. Om den sökande är under 18 år måste denne ha tillstånd av sin vårdnadshavare. Svenska Pass e-legitimation är godkänd enligt Diggs tillitsramverk på tillits- nivå 4.9 E-legitimationen ingår inte i något valfrihetssystem och är inte heller anmäld för gränsöverskridande användning inom ramen för eIDAS-förordningen.

4.4.3BankID

BankID ägs, förvaltas och vidareutvecklas av Finansiell ID-Teknik BID AB (härefter Finansiell ID-Teknik). Finansiell ID-Teknik bil- dades år 2002 och ägs av Danske Bank, Handelsbanken, Ikano Bank, Länsförsäkringar Bank, SEB, Skandiabanken och Swedbank. Innan företaget bildades hade de stora bankerna i Sverige inlett ett arbete i ett bankkonsortium. Syftet med det arbetet var att ta fram en generell

8www.skatteverket.se/privat/folkbokforing/idkort/elegitimationpaidkortet.4.3810a01c1509 39e893f8169.html (hämtad 2023-09-19).

9Äldre versioner av Svenska pass e-legitimation är endast godkända på tillitsnivå 3.

77

E-legitimationsområdet i Sverige

SOU 2023:61

infrastruktur för elektroniska identitetshandlingar, som skulle uppfylla krav från myndigheter och banker samt kunna accepteras av allmänhet och företag.

Bolagets kunder är de flesta av de stora svenska bankerna, som i sin tur säljer och förmedlar BankID. I dagsläget är det tio banker som utfärdar BankID.10 Det finns tre olika varianter av BankID, Mobilt BankID, BankID på fil och BankID på kort. Mobilt BankID innebär att användaren har sin e-legitimation i en mobiltelefon eller surfplatta. För att kunna hämta och använda Mobilt BankID krävs att användaren har installerat BankID-appen.

BankID på fil är en e-legitimation i en dator. För att kunna hämta och använda BankID på fil krävs att användaren har installerat BankID- programmet.

BankID på kort är en e-legitimation som är lagrad på ett smartkort. Förutom kortet och BankID-programmet krävs även att användaren har en kortläsare för att använda denna lösning.

Vilka lösningar som de olika bankerna erbjuder sina kunder skiljer sig åt. Mobilt BankID och BankID på fil är kostnadsfria för användaren. Vissa banker tar betalt för BankID på kort, exempelvis Swedbank där kortet kostar 400 kronor och den tillhörande kortläsaren 100 kronor.11 I nuläget har 8,4 miljoner personer någon variant av BankID och under år 2022 användes BankID för att genomföra 6,7 miljarder trans- aktioner. Av dessa transaktioner sker endast cirka 8 procent inom offentlig sektor.12 BankID kan användas i över 6 000 digitala tjänster.13 För att kunna skaffa ett BankID måste en person ha ett svenskt per- sonnummer och vara kund i någon av de banker som ger ut BankID. Respektive bank bestämmer själva vilken åldersgräns som krävs för att inneha ett BankID som de utfärdar. Om den sökande är under 18 år måste denne dock alltid ha tillstånd av vårdnadshavare. BankID på fil, BankID på kort och Mobilt BankID är godkända på tillitsnivå 3 enligt Diggs tillitsramverk. BankID är även granskad för gränsöver- skridande användning inom ramen för eIDAS-förordningen på nivå

väsentlig.

10www.bankid.com/privat/skaffa-bankid (hämtad 2023-09-19).

11www.swedbank.se/privat/rantor-priser-och-kurser/legitimationbankid.html (hämtad 2023-09-19).

12www.bankid.com/om-oss/statistik (hämtad 2023-09-19).

13Ibid.

78

SOU 2023:61

E-legitimationsområdet i Sverige

4.4.4Freja+

Freja+ är en mobil e-legitimation som ägs, förvaltas och utvecklas av Freja eID Group AB (härefter Freja). Det är kostnadsfritt för an- vändare att skaffa Freja+.

Den 30 juni 2023 hade Freja cirka 900 000 registrerade användare, vilket var en ökning med 35 procent jämfört med föregående år. Under samma period utfördes cirka 5,4 miljoner transaktioner. 14 Freja+ kan i dagsläget användas i cirka 600 digitala tjänster.15

För att skaffa Freja+ krävs för närvarande att sökanden förekom- mer i folkbokföringsregistret och kan legitimera sig med en svensk ID-handling. Freja har emellertid nyligen aviserat att de under hösten 2023 kommer att utfärda Freja+ till personer med samordnings- nummer med styrkt identitet förutsatt att dessa har ett hemlandspass som är utfärdat inom EU eller EES.16 För att få Freja+ måste använ- daren vara minst 8 år och barn upp t.o.m. 12 år måste ha vårdnads- havarens godkännande.

Freja+ är godkänd enligt Diggs tillitsramverk på tillitsnivå 3 och är därtill godkänd för gränsöverskridande användning inom ramen för eIDAS-förordningen på nivå väsentlig.

4.5Intäktsmodeller för e-legitimationsutfärdare

Det finns i dagsläget tre huvudsakliga intäktsmodeller för e-legiti- mationsutfärdare, en där ersättning utgår från den som anskaffar e-legitimationen och två där ersättning utgår från förlitande part. Om ersättning utgår från förlitande part kan ersättningen utgå per användningstillfälle eller enligt en fast avgift för en viss tidsperiod. Vi väljer därmed att kalla den första varianten för den transaktions- baserade modellen och den andra för abonnemangsmodellen. Den modell där ersättning utgår från den som anskaffar e-legitimationen kallar vi anskaffningsmodellen.

Som framgått innebär den transaktionsbaserade modellen vanligen att en kostnad uppstår (ofta benämnd tickkostnad) varje gång e-legiti-

14Freja eID Group AB, Delårsrapport 1 april – 30 juni 2023, s. 11 f.

15Freja eID Group AB, Pressmeddelande Nya regler möjliggör fler användare och kunder för Freja, 2023-08-31.

16Ibid.

79

E-legitimationsområdet i Sverige

SOU 2023:61

mationen används. Exempelvis är tickkostnaden inom valfrihetssyste- men 17 öre per transaktion.

Den grundläggande principen bakom denna modell är att den som får nyttan av användningen, dvs. gynnas av den säkra autentisering som användningen av en e-legitimation innebär, också ska betala för den. Samma princip gäller även för abonnemangsmodellen.

Den anskaffningsbaserade modellen grundar sig som framgått på att den som anskaffar e-legitimationen också betalar för den. Denna modell är den som vanligen används av utfärdare av e-tjänstelegiti- mationer och här är det vanligast med en fast avgift per tidsintervall eller en avgift per användare med begränsning i tid.17

Det som tydligast skiljer den anskaffningsbaserade modellen och övriga modeller åt är vem som betalar. Vad som prissätts och vad som utgör basen för betalningen kan emellertid variera och kombi- neras på olika sätt. Det går således även att inom ramen för den an- skaffningsbaserade modellen låta kostnaden helt eller delvis styras av antalet transaktioner. BankID är ett exempel på en e-legitimation som huvudsakligen använt sig av den transaktionsbaserade modellen. Av våra kontakter med Finansiell ID-Teknik har dock framgått att det råder fri konkurrens mellan de banker som utfärdar BankID och att andra ersättningsformer kan förhandlas fram.

4.6Anskaffning av tjänster

för elektronisk identifiering

En myndighet som vill erbjuda möjligheten att logga in med e-legiti- mation kan anskaffa tjänster för elektronisk identifiering genom val- frihetssystem, egen upphandling eller avrop från ramavtal.

I Sverige har inriktningen de senaste tio åren varit att aktörer inom förvaltningen bör använda sig av valfrihetssystem för e-legitimationer. Förfarandet regleras i lagen om valfrihetssystem i fråga om tjänster för elektronisk identifiering. Enligt 2 § avses med valfrihetssystem ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra tjänsten och som en upphandlande myndighet har godkänt och tecknat avtal med. Det finns två valfrihetssystem för e-legiti- mationer: Valfrihetssystem 2017 respektive Valfrihetssystem 2018. Dessa administreras av Digg som också tillhandahåller anslutnings-

17Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62), s. 90.

80

SOU 2023:61

E-legitimationsområdet i Sverige

avtal mellan leverantör av elektronisk identifiering direkt kopplad till vald e-legitimation och förlitande part. En myndighet som vill erbjuda sina användare att använda olika e-legitimationer är förlitande part och kan ansluta sig till valfrihetssystemen genom att ingå respektive avtal. I dagsläget är 94 aktörer anslutna till ett eller båda valfrihets- systemen i egenskap av förlitande parter.

I en nyligen lämnad proposition föreslås att valfrihetssystemen ska ersättas av auktorisationssystem.18 I promemorian som delvis ligger till grund för förslagen i propositionen föreslås också att det ska införas förordningsbestämmelser om att statliga myndigheter som har behov av tjänster för elektronisk identifiering ska använda de tjänster som tillhandahålls genom auktorisationssystemen.19 Konsekvensen av detta är att statliga myndigheter inte kan välja andra anskaffningsformer, exempelvis egen upphandling av tjänsterna eller avrop på ramavtal.

I Kammarkollegiets ramavtalsområden inom Programvaror och Tjänster finns t.ex. krav på att tjänster inom elektronisk identifiering ska kunna levereras.20 Avtal kan ingås direkt med e-legitimationsut- färdare eller med en aktör som fungerar som mellanhand och erbju- der en tjänst som gör det möjligt för användarna att logga in med e-legitimationer från olika utfärdare.

4.7Tidigare förslag rörande införandet av en statlig e-legitimation

4.7.1Regeringsuppdrag till Verva

Den numera nedlagda myndigheten Verket för förvaltningsutveckling (Verva) fick i november 2006 av regeringen i uppdrag att leda och samordna statsförvaltningens utvecklingsarbete avseende säkert elek- troniskt informationsutbyte och säker hantering av elektroniska hand- lingar.21 Uppdraget preciserades därefter till att även omfatta förslag till en modell för en långsiktig hantering av e-legitimationer.22

18Prop. 2023/24:6.

19Auktorisationssystem för elektronisk identifiering och för digital post, s. 41 ff.

20Kammarkollegiet, Vägledning för avrop av tjänster för elektronisk identifiering och elektronisk underskrift från ramavtalsområden inom Programvaror och Tjänster 2019 (Version 2.0).

21Fi2006/6773, delvis, Fi2006/967.

22Elektronisk identifiering och underskrift i Sverige Särtryck ur 2008:12, Verva, s. 7.

81

E-legitimationsområdet i Sverige

SOU 2023:61

Verva bedömde att det fanns fyra möjliga vägval för den fortsatta utvecklingen av e-legitimationer. Dessa vägval baserades på olika grader av statligt ansvar och åtagande.23

Det alternativ som Verva betecknade som ”Ett helstatligt alter- nativ” innefattade att staten helt och hållet tog hand om att utfärda alla e-legitimationer som kunde användas i offentliga digitala tjänster. Utmärkande för detta alternativ var att det endast fanns en utfärdare av e-legitimationer för offentliga e-tjänster.

Fördelen med detta alternativ var enligt Verva var att staten kunde sätta en de facto-standard och slippa ta hänsyn till de skillnader som fanns inom området och som fördyrade utbyggnaden av digitala tjäns- ter inom förvaltningen. Med endast en utfärdare hade e-legitimatio- nerna enligt Verva alla förutsättningar att etableras som ett tydligt och välkänt begrepp och varumärke. Utfärdandet kunde ske under speci- fikationer och regler som gäller alla offentliga tjänster och e-legiti- mationen fick därmed hög tillit och acceptans.

Som negativa aspekter av en sådan lösning lyfte Verva fram att ett helstatligt alternativ kan föra med sig att marknadens förutsättningar begränsas när inga andra utfärdare kommer att finnas för e-legitimat- ioner till offentliga digitala tjänster. Efter en första upphandling där en leverantör fått uppdraget, begränsas konkurrenternas intresse för att tillgodose den offentliga förvaltningens behov. Samtidigt kan staten hamna i en beroendeställning till en leverantör.

Verva förordade emellertid inte detta alternativ utan föreslog i stället att regeringen skulle säkerställa att det fanns en reglerad ord- ning för e-legitimationer. Förslaget innefattade även att det nationella identitetskortet skulle kunna användas som bärare av en svensk e-legi- timation. Så som förslaget utformades skulle alla e-legitimationer som fick statusen ”svensk e-legitimation” kunna utfärdas med det nationella identitetskortet som bärare.24

4.7.2Utredningen om effektiv styrning av nationella digitala tjänster

Utredningen om effektiv styrning av nationella digitala tjänster hade i uppdrag att bl.a. lämna förslag på långsiktig utformning av det offent- liga åtagandet när det gäller ansvarsfördelningen mellan offentlig och

23A.a, s. 23 ff.

24A.a. s. 27 ff.

82

SOU 2023:61

E-legitimationsområdet i Sverige

privat sektor i processen för grundidentifiering och utfärdande av e-legitimationer så att tillgången till enkla och säkra e-legitimationer för alla säkerställs. Utredningen skulle även analysera och lämna för- slag på hur konkurrens och innovation på den privata marknaden för utfärdande av e-legitimationer kunde främjas på lång sikt.25

Utredningen bedömde att det bör vara ett statligt åtagande att det finns en tillförlitlig process för grundidentifiering. Utredningen före- slog även att staten skulle utfärda en e-legitimation för att på det viset säkerställa att medborgare och folkbokförda kan få en sådan. Den stat- liga e-legitimationen skulle enligt förslaget utfärdas samtidigt med en statlig fysisk identitetshandling. Den statliga elektroniska identitets- handlingen skulle kunna användas för identifiering hos myndigheter, men också kunna växlas till en mobil elektronisk identitetshandling. Därmed skulle den statliga elektroniska identitetshandlingen kunna fungera som en backup om t.ex. mobiltelefonen blir obrukbar.26

4.7.32017-års ID-kortsutredning

Som en del av uppdraget för 2017-års ID-kortsutredning ingick att analysera och ta ställning till om fysiska identitetshandlingar bör inne- hålla en e-legitimation på högsta tillitsnivå.27

Utredningen föreslog att en statlig e-legitimation på högsta tillits- nivå skulle finnas på det statliga identitetskortet. E-legitimationen skulle även kunna användas för att skapa en elektronisk underskrift.28 Den statliga e-legitimationen föreslogs kunna utfärdas till personer som har fyllt 13 år och som är svenska medborgare eller folkbok- förda i landet. Utfärdandet skulle följa processen för utfärdande av id-kortet. Härigenom ansåg utredningen att samma höga nivå av säker- het kunde uppnås för den föreslagna e-legitimationen som för stat-

liga fysiska identitetshandlingar.

Utredningen föreslog vidare att Polismyndigheten skulle utfärda de statliga identitetshandlingarna, inklusive den statliga e-legitima- tionen.29

25Dir. 2016:39.

26reboot – omstart för den digitala förvaltningen (2017:114), s. 24.

27Dir. 2017:90.

28Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 319 ff.

29A.a. s. 326 ff.

83

E-legitimationsområdet i Sverige

SOU 2023:61

4.7.4Regeringsuppdrag till Myndigheten för digital förvaltning

I juni 2022 fick Digg ett regeringsuppdrag om att analysera möjlig- heterna för, och lämna förslag om, framtagandet och driften av en stat- lig e-legitimation.30 I uppdraget ingick att säkerställa att e-legitima- tionen utformas på ett sådant sätt att så många som möjligt kan använda den samt att överväga alternativ som kan sänka kostnaden och tids- åtgången för införandet. I januari 2023 överlämnade Digg sin slut- rapport till regeringen.31

Diggs förslag innebär att den statliga e-legitimationen ska utfärdas på ett kontaktlöst aktivt kort samt att utvecklingsarbetet i ett nästa steg inriktas mot att undersöka hur e-legitimationen även kan tillhanda- hållas via de nationella identitetskorten.32

Det kontaktlösa aktiva kortet ska enligt Diggs förslag lämnas ut av en identitetskontrollerande myndighet efter kontroll av giltig id-handling. Den statliga e-legitimationen ska ges ut på den högsta tillitsnivån. Digg föreslog också att den statliga e-legitimationen ska kunna ges ut till personer som har tilldelats ett samordningsnummer och kan styrka sin identitet.33

Den statliga e-legitimationen föreslogs vara ett komplement till de lösningar som marknaden erbjuder och ska erbjudas på samma villkor. Digg föreslog vidare att den statliga e-legitimationen ska er- bjudas offentliga aktörer via valfrihetssystem och att privata aktörer ska få tillgång till en statlig identifieringstjänst för att sedan kunna utfärda identitetsintyg till digitala tjänster.34 Närmare redogörelser för olika delar av Diggs förslag återfinns i kapitel 7.

30Uppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335).

31Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas.

32A.a. s. 31 ff.

33A.a. s. 35, 38 f. och 42 ff.

34A.a. s. 50.

84

5 Internationell utblick

5.1Inledning

Sverige är ett av få EU-länder som i dagsläget inte har en anmäld e-legi- timation för privatpersoner på den högsta tillitsnivån. I många EU- länder är det även staten som utfärdar e-legitimationer till privatper- soner. Den begränsade utredningstiden har inte möjliggjort någon mer utförlig undersökning av de statliga e-legitimationer som andra länder tillhandahåller. Nedan redogörs emellertid översiktligt för ett urval av statliga e-legitimationer som tillhandahålls av andra EU-länder.

5.2Danmark

I Danmark är det sedan ett antal år tillbaka som huvudregel obliga- toriskt för invånare att använda digitala självbetjäningstjänster samt att ta emot digital post från myndigheter.1 Tidigare var NemID den dominerande e-legitimationslösningen i Danmark. Mellan oktober 2021 och juni 2023 fasades MitID in som den nya lösningen genom att bl.a. föra över befintliga NemID-användare. MitID utvecklades av den danska motsvarigheten till Myndigheten för digital förvalt- ning (Digg), Digitaliseringsstyrelsen, och Finans Danmark, som är en intresseorganisation för banker och andra aktörer inom finansområdet. Det privata företaget Nets DanID A/S sköter drift och administra- tion av MitID. Digitaliseringsstyrelsen är emellertid personuppgifts- ansvarig för hanteringen och Nets DanID A/S agerar som dess per- sonuppgiftsbiträde.2

MitID erbjuds som mobil applikation, kod display, audio kodläsare, eller som ett fristående chip.3 MitID erbjuds både på tillitsnivå väsentlig

1en.digst.dk/policy-and-strategy/mandatory-digitisation/self-service/ (hämtad 2023-09-24).

2www.mitid.dk/media/jh5nnnty/om-mitid_baggrund_v104.pdf (hämtad 2023-09-24).

3www.mitid.dk/en-gb/get-started-with-mitid/mitid-authenticators/ (hämtad 2023-09-24).

85

Internationell utblick

SOU 2023:61

och hög. För den högsta tillitsnivån krävs användning av chiplösningen eller av den mobila applikationen med förbättrad säkerhet. Enligt upp- gift från Digitaliseringsstyrelsen har ingen certifiering utförts av den mobila applikationen med förbättrad säkerhet.

MitID-appen är gratis för användarna och detsamma gäller använ- darens tre första kod displayer eller audio kodläsare. MitID chip kostar cirka 144 danska kronor.4

Ansökan om MitID kan göras antingen digitalt eller genom att be- söka medborgarservicekontor (”Borgerservice”), men för tillitsnivå hög krävs personlig inställelse.5 MitID utfärdas som huvudregel till personer som är 15 år eller äldre. I vissa situationer kan även perso- ner som är 13 eller 14 år få MitID.6

5.3Estland

I Estland har staten tagit ett helhetsansvar vad gäller digitala iden- titeter och lösningar för autentisering. Det är obligatoriskt för med- borgare i Estland och medborgare från andra EU-länder som bor i Estland permanent att ha ett nationellt ID-kort som tillhandahålls av staten. Kortet är försett med ett chip som innehåller en e-legiti- mation som kan användas i en stor mängd digitala tjänster, både offentliga och sådana som tillhandahålls av företag eller andra organi- sationer. Det finns också lösningar för andra bärare, såsom mobil- telefoner. Mobiltelefonlösningen (”Mobile-ID”) innebär att chipet är integrerat i telefonens SIM-kort.7

Den estniska polisen (The Estonian Police and Border Guard Board) utfärdar identitetskortet och är även ansvarig för den identi- fiering som sker i samband med ansökan.8 Vad gäller mobiltelefon- lösningen så upphandlas detta av den estniska motsvarigheten till Digg (The Estonian Information System Authority, RIA).9

Mobiltelefonlösningen kan, med vårdnadshavarnas godkännande, utfärdas till minderåriga från 7 års ålder.10

4www.mitid.dk/en-gb/help/help-universe/prices/ (hämtad 2023-09-24).

5www.mitid.dk/en-gb/help/help-universe/mitid-user/raise-ial/ (hämtad 2023-09-24).

6www.mitid.dk/en-gb/help/help-universe/13-to-14-years-old/ (hämtad 2023-09-24).

7The Estonian Police and Border Guard Board, Estonian eID scheme: Mobile-ID2022 Technical specifications and procedures for assurance level high for electronic identification.

8www.id.ee/en/rubriik/introduction/ (hämtad 2023-09-24).

9The Estonian Police and Border Guard Board, Estonian eID scheme: Mobile-ID2022 Technical specifications and procedures for assurance level high for electronic identification.

10Ibid.

86

SOU 2023:61

Internationell utblick

5.4Finland

Identitetskort kan utfärdas till finska medborgare och utlänningar som vistas i Finland (identitetskort för utlänningar). Identitetskort för utlänningar utfärdas om sökanden har ett giltigt uppehållstillstånd, uppehållskort eller sökandens uppehållsrätt är registrerad, sökanden har hemkommun i Finland och uppgifter om sökanden har registrerats i befolkningsdatasystemet.11

På identitetskortet finns ett chip som innehåller ett s.k. med- borgarcertifikat, en e-legitimation som utfärdas av Myndigheten för digitalisering och befolkningsdata. I chipet är det också möjligt att lagra de personuppgifter som finns på kortet och, på innehavarens be- gäran, tekniska tillämpningar och uppgifter. På begäran av en myndig- het kan det vidare för myndighetsanställda lagras sådan information som behövs för den anställdes arbetsuppgifter.12

Giltighetstiden är som huvudregel fem år. Ansiktsbild och övriga personuppgifter lagras i ett register. Ansökan om pass och id-kort ska göras hos polisen eller, om ansökan rör en finsk medborgare som vistas utomlands, hos en utlandsmyndighet. Till ansökan ska sökan- dens ansiktsbild fogas. Den utfärdande myndigheten tar inte några fotografier utan dessa överförs till polisens server av den fotograf som sökanden tar bilden hos. Ansökan om medborgarcertifikat är sam- ordnad med ansökan om identitetskort. Identifieringen av sökanden ska ske på ett tillförlitligt sätt. Sökanden ska identifiera sig med ett giltigt finskt pass eller identitetskort utfärdat av polisen. Även främ- lingspass och resedokument för flykting kan användas under förut- sättning att de inte har försetts med anteckning om att identiteten inte har kunnat styrkas. Om sökanden inte kan visa upp en giltig identitets- handling, görs identifieringen av den utfärdande myndigheten. Hur det ska gå till anges inte i lagen eller förordningen. Det kan t.ex. vara fråga om att jämföra sökandens fingeravtryck med de som finns i pass- registret eller ställa kontrollfrågor utifrån uppgifter i olika register. Om en person som ansöker om ett identitetskort för utlänningar inte kan visa upp en giltig identitetshandling ska personen visa upp ett giltigt uppehållstillståndskort eller uppehållskort. Den utfärdande myndigheten får då ta sökandens fingeravtryck och jämföra med de av- tryck som är lagrade i uppehållstillståndskortet eller uppehållskortet.13

11Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 157 f.

12Ibid.

13Ibid.

87

Internationell utblick

SOU 2023:61

Kostnaden för att ansöka om ett identitetskort är 54 euro vid en elektronisk ansökan och 60 euro vid en fysisk ansökan.14

5.5Nederländerna

I Nederländerna tillhandahåller staten e-legitimationen DigiD som erbjuds i formen av en mobil applikation. Det kostar inget att få en DigiD. E-legitimationen förvaltas och utfärdas av myndigheten Logius, som är Diggs nederländska motsvarighet. E-legitimationen är till- gänglig på tillitsnivå låg, väsentlig och hög.15 För tillitsnivå hög krävs användning av appen i kombination med ett nederländskt körkort (utfärdat efter den 26 maj 2018) eller nationellt identitetskort (ut- färdat efter den 1 januari 2021) som innehåller ett särskilt chip som läses av med telefonens NFC-läsare.16

Det finns ingen undre åldersgräns för DigiD och för barn som är

13 år eller yngre krävs vårdnadshavarens godkännande.17 För barn som är 14 år eller äldre ska ansökan göras av barnen själva.18

5.6Tyskland

Det tyska nationella identitetskortet innehåller sedan 2010 en e-legi- timation som är integrerat i kortets chip. E-legitimationen är på tillits- nivå hög. E-legitimationsfunktionen är endast tillgänglig för den som är 16 år eller äldre. Om en person som innehar ett nationellt identitets- kort fyller 16 år under kortets giltighetstid kan elegitimationsfunk- tionen då aktiveras utan extra kostnad. För personer under 24 år kostar det nationella identitetskortet cirka 23 euro och det är giltigt i sex år. För personer som är 24 år eller äldre kostar kortet 37 euro och är giltigt i tio år. 19

14poliisi.fi/sv/serviceavgifter (hämtad 2023-09-24).

15Netherlands Court of Audit, Digital Identity Demanding a Lot from DigiD and eHerkenning,

29mars 2023, s. 11.

16www.logius.nl/actueel/inloggen-met-rijbewijs-mogelijk-digid-app (hämtad 2023-09-24).

17www.nederlandwereldwijd.nl/digid-buiten-nederland/digid-kind (hämtad 2023-09-24).

18www.digid.nl/en/apply-and-activate/apply-digid (hämtad 2023-09-24).

19www.personalausweisportal.de/Webs/PA/EN/citizens/german-id-card/fees-and-validity/fees- and-validity-node.html#doc14627276bodyText1 (hämtad 2023-09-24).

88

SOU 2023:61

Internationell utblick

Övriga medborgare i EU- och EES-stater kan få ett separat e-legiti- mationskort. Kortet kostar 37 euro och är giltigt i tio år. För att få ett e-legitimationskort måste man vara 16 år eller äldre.20

På kortet framgår bl.a. innehavarens för- och efternamn, födelse- datum och kortets giltighetstid. Korten utfärdas av lokala myndig- heter på delstatsnivå.21

20www.personalausweisportal.de/Webs/PA/EN/citizens/id-card-for-eu-and-eea/eID-card-for- eu-and-eea-node.html;jsessionid=230FD85A4AF8D4BAE7CC1BAE6F381F02.1_cid340#doc 14627306bodyText1 (hämtad 2023-09-24).

21Ibid.

89

6Varför behövs en statlig e-legitimation?

6.1Inledning

I utredningens uppdrag ingår att föreslå hur staten kan utfärda en kost- nadseffektiv e-legitimation på högsta tillitsnivå. Enligt utredningens direktiv är syftet att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation. Trots att uppdraget således är inriktat på hur en statlig e-legitimation på högsta tillitsnivå ska utformas och utfärdas, och inte på om en sådan e-legitimation behövs, anser vi att det är viktigt att tydliggöra behovs- bilden. Dels för att förtydliga varför en statlig e-legitimation behövs, dels för att säkerställa att utredningens förslag i möjligaste mån till- godoser de behov som finns.

Det bör poängteras att behovsbilden nedan inte tar hänsyn till det föreslagna införandet av en europeisk identitetsplånbok i den revi- derade eIDAS-förordningen (se avsnitt 4.2.7). Införandet av nämnda identitetsplånbok kan – beroende på dess utformning och påverkan

förändra vissa av de förutsättningar som anges i detta kapitel.

6.2Avsaknad av en anmäld e-legitimation på högsta tillitsnivån

Ett av förslagen i revisionen av eIDAS-förordningen ställer krav på medlemsstaterna att anmäla en e-legitimation på högsta tillitsnivå en- ligt ett särskilt anmälningsförfarande (se avsnitt 4.2.7). Detta krav kan uppfyllas genom att anmäla en statligt eller privat utfärdad e-legi- timation. Förslaget innebär således inte att varje medlemsstat måste ha en statlig e-legitimation. Eftersom ingen av de e-legitimationer som

91

Varför behövs en statlig e-legitimation?

SOU 2023:61

utfärdas för privat bruk i Sverige i skrivande stund är anmäld för gräns- överskridande användning på tillitsnivå hög, och eftersom ingen utfär- dare heller har aviserat en avsikt att göra det, ankommer det på reger- ingen att se till att Sverige uppfyller detta krav. Om Sverige inte skulle uppfylla ett sådant kommande krav kan det leda till ett överträdelse- ärende.1

Som framgår av avsnitt 4.2.5 är det vid gränsöverskridande använd- ning den som erbjuder en digital tjänst, t.ex. en myndighet i ett annat EU-land, som avgör vilken tillitsnivå som krävs. Avsaknad av en anmäld svensk e-legitimation på tillitsnivå hög innebär således att invånare i Sverige i nuläget utestängs från vissa digitala tjänster i andra medlems- stater, om de inte har tillgång till en e-legitimation på tillitsnivå hög från något annat land. Det finns därför även ett behov av att anmäla en e-legitimation på tillitsnivå hög för att säkerställa att svenska in- vånare får tillgång till digitala tjänster med motsvarande krav i andra EU-länder.

6.3Grundidentifiering är ett statligt åtagande

Det går inte att entydigt säga vad som innefattas i begreppet grund- identifiering. Begreppet kan och brukar användas som benämning för den process som leder fram till att en identitetshandling (se avsnitt 3.2) utfärdas och som inbegriper att en individ ska styrka sin identitet (se avsnitt 3.1). För att kvalificeras som grundidentifiering har det anförts att det fordras att det i processen ingår personlig inställelse vid ansökan om och utlämnade av identitetshandlingen, att individen vid inställel- sen styrker sin identitet på ett tillförlitligt sätt och att fysiska känne- tecken hos individen i fråga dokumenteras av den utfärdande aktören.2

Myndigheten för digital förvaltning (Digg) har använt begreppet grundidentifiering med innebörden ”att kontrollera att en sökandes identitet är styrkt”, och konstaterat att den användningen ansluter väl till nuvarande regler inom området, exempelvis Polismyndighetens föreskrifter för pass och nationellt identitetskort.3 Myndighetens för-

1Ett överträdelseärende initieras av EU-kommissionen om en medlemsstat inte tillämpar EU-lag- stiftningen på rätt sätt. Om frågan inte går att lösa kan kommissionen överlämna ärendet till EU- domstolen som har möjlighet att döma medlemsstaten att betala böter eller ett löpande vite.

2reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 173 ff., se även redovisningen i avsnitt 3.7.

3Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 42 f.

92

SOU 2023:61

Varför behövs en statlig e-legitimation?

slag till utgivningsprocess innehåller krav på personlig inställelse och krav på att den sökande styrker sin identitet enligt de rutiner och krav som den identitetskontrollerande myndigheten föreskrivit. Huru- vida förslaget därmed även innefattar dokumentationskrav avseende fysiska kännetecken av sökanden går inte direkt att utläsa, eftersom det lämnas åt den berörda myndigheten att meddela verkställighets- föreskrifter.

I vårt kommittédirektiv framhålls vikten av att grundidentifieringen kan göras på ett noggrant och säkert sätt av en myndighet vid ett per- sonligt besök.4

Staten utfärdar som framgått fysiska identitetshandlingar. De iden- titetshandlingar som finns att tillgå i Sverige – fysiska eller elektroniska

är kopplade till den svenska folkbokföringen, vars hantering är ett ansvar och en uppgift för staten. Mot denna bakgrund är en grund- identifiering av enskildas identitet redan ett statligt åtagande.

Som anges i våra direktiv och som närmare behandlas i avsnitt 6.5 utgör numera e-legitimationer en samhällsviktig infrastruktur och det är allt svårare att klara sig utan tillgång till en sådan legitimation.

Att möjliggöra för fysiska personer att uppfylla identifikationskrav för att få tillgång till samhällets digitala tjänster är i sig en anledning till att staten bör åta sig ett ansvar för grundidentifiering så att med- borgare och andra invånare ska kunna identifiera sig elektroniskt, oavsett att det kan var möjligt för en enskild att erhålla e-legitima- tion på annat sätt. Vidare går det redan av våra direktiv att utläsa att regeringen anser att staten har ett sådant ansvar.

6.4Bättre förutsättningar för id-växling

Utfärdare av befintliga e-legitimationer använder sig av sina egna iden- tifieringsprocesser. Eftersom dessa både är kostsamma och ställer höga krav på utförandet skapas en hög tröskel för nya aktörer att inträda på marknaden. Detta gäller både marknaden för kommersiella e-legiti- mationer och e-tjänstelegitimationer.

Flera tidigare utredningar har påtalat behovet av och framhållit för- delar med en statlig e-legitimation, bl.a. för att kunna användas för id-

4En del av uppdraget är att analysera vilka kontroller av identiteten som då behöver vidtas och om omfattningen av kontrollen ska vara jämförbar med den kontroll som sker för andra identitets- handlingar, se dir. 2022:142 s. 3.

93

Varför behövs en statlig e-legitimation?

SOU 2023:61

växling, dvs. att en e-legitimation kan utgöra underlag vid utfärdande av andra e-legitimationer.5

Varje e-legitimationsutfärdare avgör huruvida id-växling ska tillåtas. I dagsläget finns endast begränsade möjligheter för svenska användare att genomföra id-växling. Exempelvis tillåter inte BankID detta enligt sina användarvillkor för förlitande parter.6

Det har anförts av bl.a. Sveriges Riksbank och Konkurrensverket att en statlig e-legitimation på högsta tillitsnivå som dels kan använ- das för att få tillgång till olika digitala tjänster, dels kan möjliggöra id-växling till andra e-legitimationer på lägre tillitsnivå, skulle kunna stärka konkurrensen på e-legitimationsmarknaden och potentiellt öppna för fler valmöjligheter för enskilda.7

Om staten ansvarar för grundidentifieringen kan en e-legitimation på den högsta tillitsnivån användas för att skaffa andra e-legitimationer och betrodda tjänster utan att en e-legitimationsutfärdare som er- bjuder dessa behöver utföra en lika omfattande identifieringsprocess av en ny användare. Det kan handla om att det inte behövs ett fysiskt besök eller samma dokumentationskrav när en person redan har en statlig e-legitimation.

Även om detta i sig inte är ett skäl för att införa en statlig e-legiti- mation skulle en mer diversifierad marknad för e-legitimationer även bidra till att göra systemet mer robust och mindre sårbart för antago- nistiska angrepp (se mer om detta i avsnitt 6.5). Syftet med att staten ansvarar för grundidentifieringen är att verka som en garant för ett säkert system för elektronisk identifiering. Andra utfärdare kan med stöd av id-växling från en statlig e-legitimation erbjuda sina användare ett helt elektroniskt ansökningsförfarande. På så vis kan andra utfärdare dra nytta av det statliga åtagandet att ansvara för grundidentifieringen.

5reboot – omstart för den digitala förvaltningen (SOU 2017:114) s. 202 f., Ett säkert statligt ID-kort

– med e-legitimation (SOU 2019:14) s. 321 f., Användning av e-legitimation i tjänsten i den offent- liga förvaltningen (SOU 2021:62) s. 181 f. och Staten och betalningarna (SOU 2023:16) s. 372 f. Även Digg framhåller betydelsen av id-växling, En säker och tillgänglig statlig e-legitimation, s. 12 f.

6Detta anges bero på att BankID ges ut kostnadsfritt till användarna och kostnaderna för infrastrukturen finansieras av de förlitande parter som använder BankID i sina tjänster, se www.bankid.com/foretag/anslut-foeretag (hämtad 2023-09-07).

7Sveriges Riksbank, Betalningsrapport 2022., s. 32. Konkurrensverket efterfrågade redan 2017 att en statlig e-legitimation skulle införas i Sverige. Detta eftersom kundautentisering är en mycket viktig del av betaltjänstmarknadens funktionssätt överlag och för tredjepartsaktörernas möjligheter att verka på marknaden, Konkurrensverket, Betaltjänstmarknaden i Sverige, Kon- kurrensverkets rapportserie 2017:7 (2017), s. 63 f.

94

SOU 2023:61

Varför behövs en statlig e-legitimation?

6.5Stärkt beredskap och ökad redundans

6.5.1Risker med den ökade användningen av e-legitimationer

Den utbredda användningen av e-legitimationer inom många samhälls- områden medför stora möjligheter och nyttor, men också risker. Reger- ingen har slagit fast att e-legitimationer är en samhällskritisk infra- struktur. 8 E-legitimationer och e-legitimationsutfärdare är därmed ett naturligt mål för brottslighet och antagonister som kan vilja komma åt enskilda personer eller samhället i stort. De mest kvalificerade an- tagonistiska hoten utgörs i första hand av angrepp utförda av statliga eller statsunderstödda aktörer. Effekterna av ett sådant angrepp kan få lika stora konsekvenser för samhällsviktiga funktioner och kritiska IT-system som ett konventionellt väpnat angrepp.9

Det försämrade omvärldsläget har också stor påverkan på risk- bilden. Av Säkerhetspolisens (Säpo) lägesbild för 2022/2023 framgår att Rysslands anfallskrig mot Ukraina – i kombination med att även andra auktoritära stater agerar mer aggressivt – medför risker för Sveriges säkerhet. Detta ökar enligt Säpo betydelsen av samhällets motståndskraft och ett fungerande totalförsvar.10 I takt med att olika samhällsfunktioner, ekonomiska värden och ytterst människors liv och hälsa knyts till sammankopplade system, bedömer Säpo att cyber- angrepp riskerar att få allt värre konsekvenser.11

Digitaliseringen medför att de risker som finns behöver mötas av samhället och av den verksamhet som förlitar sig på dessa tjänster. Under 00-talet var i stor utsträckning digitala tjänster ett komple- ment till det vanliga pappersflödet. Då gick det även att gå tillbaka till ett pappersbaserat sätt att arbeta. Detta är i många fall inte möjligt i dag och andra former av kontinuitetslösningar krävs därmed.

Som ett steg i att hantera de risker som digitaliseringen medför tog regeringen under 2017 fram en nationell strategi för samhällets in- formations- och cybersäkerhet. Av strategin framgår bl.a. att varje aktör som bedriver skyddsvärd eller samhällsviktig verksamhet har ett ansvar att utifrån relevanta riskanalyser utveckla beredskaps- och kontinui-

8För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (N2017/03643/D).

9Prop. 2020/21:30 s. 151.

10Säkerhetspolisen, Säkerhetspolisens lägesbild 2022/2023, s. 4 f.

11A.a. s. 36.

95

Varför behövs en statlig e-legitimation?

SOU 2023:61

tetsplaner för att kunna hantera allvarliga cyberattacker eller andra IT-incidenter.12

6.5.2Risker med den svenska marknaden för e-legitimationer

Som bl.a. framgår av avsnitt 4.4 har BankID en klart dominerande ställ- ning på den svenska marknaden och den dominansen är än större när det gäller privata digitala tjänster i allmänhet och betalningsmarknaden i synnerhet.

Flera utredningar och rapporter har påpekat den sårbarhet och brist på konkurrens som finns inom e-legitimationsområdet genom att vi har gjort oss så beroende av BankID.13 Ofta lyfts det fram att BankID fungerar bra, har nöjda kunder och har varit kostnadseffek- tivt, men samtidigt påpekas att den bristande konkurrensen medför risker.14 Det är oklart om den föreslagna europeiska identitetsplån- boken kommer att påverka konkurrensen på den nationella e-legiti- mationsmarknaden. Utifrån det läge som nu råder är det emellertid utan tvekan så att BankID:s dominans på den svenska marknaden med- för risker. Vid sidan av risken för utanförskap för de individer som av någon anledning inte kan få eller klarar av att använda ett BankID drabbas av (se mer om detta i avsnitt 6.6), är bristen på redundans den största risken för samhället som helhet. Risken är kopplad till att såväl de som använder BankID som de som tillhandahåller digitala tjänster i hög utsträckning saknar alternativ för det fall BankID är otillgängligt eller av andra anledningar inte fungerar. Tillgängligheten till tjänsten kan t.ex. påverkas av en överbelastningsattack där någon angriper sys- temet genom att skicka så mycket trafik till en resurs att den blir otill- gänglig. Något som är vanligt förekommande vad gäller både webb- platser och digitala tjänster. BankID:s tillgänglighet har vid ett flertal tillfällen påverkats av sådana attacker.15

Vi bedömer sammantaget att BankID:s dominanta position gör infrastrukturen till ett attraktivt mål för antagonistiska krafter, i synner- het eftersom samhället i stort påverkas av avbrott om flera samhälls- sektorer drabbas samtidigt till följd av att BankID inte fungerar. Sår- barheten gäller inte minst betalningar och finansiella tjänster, men även

12Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213), s. 22.

13Vem kan man lita på? (SOU 2021:9) s. 231 och Staten och betalningarna (SOU 2023:16) s. 375.

14Se exempelvis Riksrevisions rapport E-legitimation – en underutnyttjad resurs (RiR 2009:19).

15Se t.ex. www.svt.se/nyheter/inrikes/bank-id-ligger-nere-1 (hämtad 2023-04-02).

96

SOU 2023:61

Varför behövs en statlig e-legitimation?

offentliga och kommersiella e-tjänster. Beroendet av BankID för sam- hällets funktionalitet medför också att tillhandahållandet av BankID är en verksamhet som kan behöva upprätthållas under höjd beredskap och krig.

6.5.3En statlig e-legitimation leder till bättre beredskap och en ökad redundans

Som ovan framgått har problematiken med bristande konkurrens inom e-legitimationsområdet tidigare påtalats i såväl statliga utredningar som i myndighetsrapporter. Vissa lösningsförslag har också lagts fram genom åren. Exempelvis föreslog E-delegationen i sin strategi för myn- digheternas arbete med e-förvaltning att det svenska systemet för e-legitimationer skulle baseras på federationslösningar för användning av befintlig och ny teknik i e-legitimationerna.16 Vidare föreslog Utred- ningen om bildande av en e-legitimationsnämnd att det skulle införas en federerad e-legitimationslösning. Ett av skälen till den valda model- len var enligt utredningen att konkurrensen på marknaden och förut- sättningarna för nya tjänster skulle öka.17

De förslag som har koppling till införandet av en statlig e-legiti- mation redovisas närmare i avsnitt 4.7. Utredningen om effektiv styrning av nationella digitala tjänster påtalade att en säker grundidentifierings- process genom en statlig e-legitimation kan användas av andra aktö- rer för att öka konkurrensen på marknaden. 2017 års ID-kortsutredning framförde att det finns behov av alternativa e-legitimationslösningar utifrån flera perspektiv, särskilt när det gäller säkerhet, robusthet och tillgänglighet. Givet avsaknaden av ett reellt alternativ – om de privat utfärdade e-legitimationerna av någon anledning inte skulle fungera

ansåg utredningen att det behövdes en statlig e-legitimation.18

Betalningsutredningen bedömde att det är synnerligen angeläget att en statlig e-legitimation på högsta säkerhetsnivå införs så snart det är möjligt.19 Utredningen konstaterade bl.a. att en statlig e-legitima- tion skulle stärka den civila beredskapen om den kan användas för att legitimera sig för att använda olika e-tjänster, inklusive betalningar. En statlig e-legitimation kan potentiellt också underlätta för andra

16Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86), s. 87.

17E-legitimationsnämnden och Svensk e-legitimation (SOU 2010:104), s. 150.

18Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 319 f.

19Staten och betalningarna (SOU 2023:16), s. 371.

97

Varför behövs en statlig e-legitimation?

SOU 2023:61

aktörer att erbjuda e-legitimationer och betrodda tjänster, vilket också kan stärka beredskapen.20 Utredningen poängterade emellertid även att hur utbredd en statlig e-legitimation blir delvis är upp till indi- viderna och vilken nytta de ser med att skaffa en sådan.21

Det anförda motiverar bedömningen att det finns ett behov av alternativ till BankID. Den marknadsdominans som BankID har, i kombination med den låga andel av befolkningen som har två e-legiti- mationer medför i praktiken att aktörer som förlitar sig på e-legitima- tioner får anses sakna alternativ för att hantera risker och för att upp- rätthålla en fungerande kontinuitetsplan.

Förutsättningarna för att hantera de risker som framgår ovan skulle således öka om minst ett alternativ, med stor spridning i samhället och motsvarande användningsområden som BankID har, fanns till- gängligt. Detta kan uppnås antingen genom att befintliga alternativ får större spridning eller genom att ytterligare leverantörer etablerar sig på marknaden och tar betydande marknadsandelar.

En ökad etablering kan uppnås genom att staten utför grundiden- tifiering, vilket underlättar för marknaden som i sin tur kan använda uppgifterna för att utfärda e-legitimationer. Alternativt kan det uppnås genom att staten tillhandahåller en e-legitimation som, vid sidan av kommersiella e-legitimationer, får en hög användningsvolym. Slutligen kan en ökad spridning uppnås om befintliga tjänster accepterar olika e-legitimationer, inte minst inom finansiella- och betaltjänster där BankID har en än mer dominerande ställning. För att en statlig eller annan privat e-legitimation ska kunna bli ett reellt alternativ krävs under alla förhållanden att staten skapar vissa förutsättningar för att så ska kunna ske (se mer om detta i avsnitt 7.13).

Det finns i sammanhanget också skäl att betona att de kommer- siella alternativen självfallet drivs av ett underliggande vinstintresse. De ekonomiska förutsättningarna på marknaden styr således om och hur många privata aktörer som tillhandahåller e-legitimationer. Ett syfte för staten med att tillhandahålla en e-legitimation kan således sägas vara att stå som garant för att det finns ett alternativ att tillgå om det skulle ske förändringar på den svenska e-legitimationsmark- naden till följd av exempelvis ändrade kommersiella villkor.

Sammanfattningsvis utgör införandet av en statlig e-legitimation inte ensamt lösningen på de risker som presenteras ovan. Det finns

20A.a. s. 376.

21A.a. s. 374.

98

SOU 2023:61

Varför behövs en statlig e-legitimation?

emellertid behov av en statlig e-legitimation som en del i att bättre kunna hantera dessa risker och för att garantera att det finns en svensk e-legitimation som utfärdas till privatpersoner utan beaktande av rå- dande kommersiella villkor.

6.6Ökad tillgänglighet

6.6.1Tillgång till e-legitimation är en förutsättning för delaktighet

Den rådande samhällsutvecklingen drivs i flera avseenden av digita- liseringen och det blir allt viktigare att kunna legitimera sig elektro- niskt för att ta del av samhällets alla funktioner. Tillgång till en e-legi- timation erbjuder inte bara åtkomst till digitala tjänster hos exempelvis statliga myndigheter, kommuner och banker. Den kan också skapa förutsättningar för att förenkla vardagen, eller till och med vara nöd- vändig, vid köp av buss- eller tågbiljetter samt vid inköp på fysiska eller internetbaserade marknadsplatser. Vidare krävs inte sällan en e-legitimation för att kunna delta i det sociala samspelet på internet. Att stå helt utanför eller begränsas i sin användning på olika sätt inne- bär således konsekvenser för enskilda människors vardagliga liv och ekonomi samt därmed också för jämlikheten i samhället.

Det finns ingen legaldefinition av vad som avses med tillgänglighet. Betydelsen av tillgänglighet i vardagligt språkbruk är förhållandevis klar och den mer specifika innebörden framgår, när det finns behov, av den lagstiftning där begreppet förekommer. För vår del finns det dock – på ett mer generellt plan – anledning att påpeka att målsätt- ningen med ökad tillgänglighet till en e-legitimation inte bara inbe- griper möjligheten att skaffa en sådan utan också att det ska vara möjligt för alla att använda den.

6.6.2Alla har inte förutsättningar och möjlighet att delta

En majoritet av befolkningen är delaktiga och aktiva i det digitala sam- hället. I en studie som Internetstiftelsen årligen genomför redovisas för 2022 att 94 procent av befolkningen 16 år eller äldre använder inter- net och att 91 procent i samma grupp använder e-legitimation.22 I allt

22Internetstiftelsen, Svenskarna och internet 2022, s. 12 ff.

99

Varför behövs en statlig e-legitimation?

SOU 2023:61

väsentligt motsvarande statistik finns att läsa på Statistiska central- byråns webbplats.23 Den digitala närvaron och användandet av e-legi- timation är alltså betydande. Statistiken innebär emellertid också att ett stort antal människor ännu inte har tillgång till en e-legitimation, vilket orsakar ett betydande utanförskap.

Något förenklat kan sägas att äldre personer, personer med funk- tionsnedsättning och personer utan svenskt personnummer inte har tillgång till en e-legitimation i samma utsträckning som den övriga be- folkningen.

I gruppen äldre personer uppger 3 av 10 pensionärer att de inte använt e-legitimation det senaste året och för 1920- och 30-talisterna är siffran 6 av 10.24 När det gäller personer med funktionsnedsätt- ning svarar endast 57 procent att de känner sig delaktiga i det digitala samhället, 33 procent att de känner sig delaktiga till viss del, 8 procent att de inte känner sig delaktiga alls och 2 procent att de inte vet. I samma grupp uppger 80 procent att de använder Mobilt BankID och 16 pro- cent att de använder en e-legitimation som inte är Mobilt BankID.25 I förhållande till befolkningen i övrigt är således utanförskapet för dessa grupper betydande.

Enskilda personer som inte är folkbokförda eller har varit folkbok- förda i Sverige tilldelas inte personnummer, men kan under vissa för- utsättningar tilldelas ett samordningsnummer. Detta gäller exempelvis personer som arbetar eller studerar tillfälligt i Sverige eller söker asyl i landet. Formellt sett finns det inget som hindrar att en person med samordningsnummer får tillgång till en e-legitimation, men för det fall e-legitimationen omfattas av det svenska tillitsramverket måste utfärdaren kunna visa för Digg att personen har identifierats på ett säkert sätt vid ansökan. I tillitsramverket ställs krav på att en svensk e-legitimation endast får ges ut till personer med samordningsnum- mer som har styrkt sin identitet eller gjort identiteten sannolik. Till följd av svårigheter med att identifiera personer med samordnings- nummer krävs det för närvarande i praktiken oftast ett personnummer. Under hösten 2023 kommer emellertid Freja+ att börja utfärdas till

23www.scb.se/hitta-statistik/statistik-efter-amne/levnadsforhallanden/levnadsforhallanden/ befolkningens-it-anvandning/pong/statistiknyhet/befolkningens-it-anvandning-2022/ (hämtad 2023-10-02).

24Internetstiftelsen, Svenskarna och internet 2022, s. 18.

25www.datavisning.se/#/stats/Anv%C3%A4ndning%20av%20internet%20SMFOI%202021 (hämtad 2023-10-02).

100

SOU 2023:61

Varför behövs en statlig e-legitimation?

personer med samordningsnummer med styrkt identitet förutsatt att dessa har ett hemlandspass som är utfärdat inom EU eller EES.26

Någon tillförlitlig statistik på hur många personer med samord- ningsnummer som använder en svensk e-legitimation finns såvitt känt för utredningen inte – sannolikt eftersom det inte förekommer i någon nämnvärd utsträckning.27 Bilden av ett digitalt utanförskap för exem- pelvis asylsökande och andra nyanlända bekräftas dock bl.a. i läns- styrelsernas rapporter och Betalningsutredningens betänkande.28

Avsaknad av personnummer kan skapa utanförskap även för uni- onsmedlemmar som exempelvis arbetar eller studerar i Sverige. Sverige har återkommande fått kritik för de hinder för den fria rörligheten som de ofta förekommande kraven på personnummer skapar.29 Mot bakgrund av klagomålen startade EU-kommissionen ett s.k. EU- pilotärende och ställde ett antal frågor till svenska myndigheter.30 Efter att ha avslutat ärendet i mars 2021 konstaterade kommissionen att problemen ännu är olösta och att den avser återkomma om vidare hantering av frågan.31 Inom ramen för ett annat EU-pilotärende har kommissionen även ställt liknande frågor rörande tredjelandsmed- borgare.32

Utöver det som redovisats ovan indikerar resultatet av en pilot- studie genomförd av Linköpings universitet att tillgång till e-legiti- mation kan vara begränsad i vissa områden. Pilotstudien genomfördes i förorten Skäggetorp under november månad 2019 med intervjuför- farande vid dörrknackning samt på verksamheter och offentliga platser. Motivet till studien var att invånare i förorter i lägre utsträckning deltar i enkätstudier, särskilt sådana som genomförs digitalt. Enligt studien uppgav 87 procent av respondenterna att de använder internet (jämfört med 94 procent i undersökningen Svenskarna och Internet 201933) och 86 procent av dessa att de även använder BankID någon

26Freja eID Group AB, Pressmeddelande Nya regler möjliggör fler användare och kunder för Freja, 2023-08-31.

27Problematiken beskrivs i prop. 2021/22:276, s. 28 f. där det också framhålls att det för närvarande saknas möjlighet att koppla en utländsk e-legitimation till ett svenskt samordningsnummer.

28Länsstyrelserna, Bevakning av grundläggande betaltjänster 2022, se exempelvis s. 5, 68 f. och s. 126 och Staten och betalningarna (SOU 2023:16), s. 180 f. och 186.

29Se bl.a. Europaparlamentet, Generaldirektoratet för intern politik, Hinder för rätten att fritt röra sig och att fritt uppehålla sig för unionsmedborgare och deras familjer: Landsrapport för Sverige, juni 2016, s. 15 ff. och Skatteverket, Regler och rutiner i folkbokföringsärenden(dnr

204 319440-17/113, 26 februari 2018, s. 8 f.

30Fi2016/03726/S3.

31EUP[2016]8967.

32Fi2019/03178/S3.

33Internetstiftelsen, Svenskarna och internet 2019, ibid.

101

Varför behövs en statlig e-legitimation?

SOU 2023:61

gång.34 Andelen respondenter som använder BankID sammanfaller alltså med andelen som använder internet varför utanförskapet när det gäller e-legitimation synes vara förknippat med avsaknad av tillgång till internet.

6.6.3Orsakerna till avsaknad av e-legitimation är flera

Det finns flera orsaker till det digitala utanförskapet och vissa gruppers bristande tillgång till e-legitimation. Det kan dels ha att göra med be- fintliga utfärdares krav för att få en e-legitimation, dels vara kopplat till individens egna förutsättningar. För en del personer, särskilt bland gruppen äldre personer, gäller också att det inte finns någon önskan om att använda digitala hjälpmedel.

I en forskningsöversikt som genomfördes av Linköpings univer- sitet på uppdrag av Digitaliseringsrådet identifierades den samhälleliga styrningen som en grogrund för digital inkludering medan infra- struktur/tillgång, socioekonomisk status, motivation, tillit/självtillit samt kunskaper och färdigheter angavs som bidragande faktorer till digitalt utanförskap kopplade till individen. Dessa faktorer kan i varie- rande mån gälla för alla grupper som står utan e-legitimation eftersom grupperna inte på något sätt är homogena. Därtill kommer att de undersökningar som genomförs för att ta fram statistik många gånger är utformade på ett sätt som exkluderar vissa grupper, exempelvis på grund av att de förutsätter att respondenten kan använda telefon och dator samt behärskar svenska språket.35

I dag finns det som redovisats i avsnitt 4.4 tre statligt godkända e-legitimationer som privatpersoner kan skaffa. BankID som utfär- das av tio olika banker, Freja+ som ges ut av Freja eID Group AB och den e-legitimation som utfärdas av AB Svenska Pass och som finns på Skatteverkets identitetskort. Som beskrivs i avsnitt 4.4 krävs för att kunna få ett BankID ett svenskt personnummer och ett konto i någon av de banker som utfärdar BankID. För Freja+ krävs för närvarande att sökanden förekommer i folkbokföringsregistret och kan legitimera sig med en svensk ID-handling. Freja har emellertid

34Förorten svarar. En enkätmetod för att kartlägga digital delaktighet och hållbarhet i Skäggetorp, Skill och Kaharevic, Linköping: Linköping University Electronic Press, 2021, s. 108, DINO Rapport 2021:7.

35Digitalt utanförskap – en forskningsöversikt, Francisco m.fl., Linköping: Linköping University Electronic Press, 2019, s. 51, DINO Rapport 2019:3.

102

SOU 2023:61

Varför behövs en statlig e-legitimation?

nyligen aviserat att de under hösten 2023 kommer att utfärda Freja+ till personer med samordningsnummer med styrkt identitet förutsatt att dessa har ett hemlandspass som är utfärdat inom EU eller EES. För e-legitimationen på Skatteverkets identitetskort krävs att man är folkbokförd i Sverige, har fyllt 13 år och kan legitimera sig. Detta är krav som i varierande mån inte kan uppfyllas av de grupper som i dag saknar e-legitimation.

Gemensamt för många – men givetvis inte alla – som saknar till- gång till en e-legitimation är att de har behov av hjälp av en god man eller förvaltare. Ställföreträdarutredningen, som redovisade sitt betän- kande i april 2021, hade bl.a. som uppdrag att dels ta ställning till vilka ändringar som behövs för att aktörerna på området i så stor utsträck- ning som möjligt ska kunna använda sig av digitala hjälpmedel, dels överväga om och hur framtidsfullmakter ska kunna upprättas och han- teras elektroniskt.36

Ställföreträdarutredningen konstaterade att banker och andra ut- ställare av e-legitimationer inte medger en e-legitimation när en sådan bedöms innebära säkerhetsrisker eller när användaren inte kan ge ut- tryck för sin vilja eller förstå vad en e-legitimation innebär. Vidare fann utredningen att banker, myndigheter och andra som tillhandahåller digitala tjänster ibland ser säkerhetsrisker med att erbjuda sådana tjänster till huvudmän, såsom en risk att tjänsten används av andra till skada för huvudmannen eller att rättshandlingar som huvud- mannen ingår med hjälp av tjänsten inte blir bindande, till skada för tredje man.37

Utanförskapet för personer med god man och förvaltare till följd av bristande tillgång på e-legitimation bekräftas av flera av de intresse- organisationer och offentliga aktörer som utredningen har talat med. Därtill kommer att de tjänster som erbjuds inte fullt ut är anpassade för olika behov och inte heller erbjuder någon tillgänglig support- funktion. Detta är omständigheter som i sig får en avhållande effekt eftersom de bidrar till en osäkerhet i användningsskedet.

Sammanfattningsvis står det klart att de lösningar som erbjuds

idag inte fullt ut tillgodoser behovet av att kunna legitimera sig elek- troniskt för alla i samhället.

36Gode män och förvaltare – en översyn (SOU 2021:36). 37A.a. s. 451 ff.

103

Varför behövs en statlig e-legitimation?

SOU 2023:61

6.6.4Bestämmelser om tillgänglighet

Utöver att ökad tillgänglighet är ett uttalat syfte i våra direktiv finns det även olika bestämmelser som uppställer krav om tillgänglighet både i allmänhet och mer specifikt vad gäller digitala tjänster. Dessa bestämmelser tar främst sikte på bristande tillgänglighet till följd av funktionsnedsättning.

Regeringsformen

Enligt 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. Vidare ska det allmänna en- ligt femte stycket samma paragraf dels verka för att alla människor ska kunna uppnå delaktighet och jämlikhet i samhället och för att barns rätt tas till vara, dels motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra om- ständigheter som gäller den enskilde som person. Bestämmelserna i paragrafen brukar betraktas som program- och målsättningsstadganden som ger uttryck för vissa särskilt viktiga mål eller riktlinjer för den samhälleliga verksamheten. Den riktar sig till alla som utövar offentlig makt, dvs. både normgivande organ och rättstillämpande myndigheter. Stadgandet ger däremot inte upphov till några rättigheter för den en- skilde på samma sätt som t.ex. bestämmelserna om de grundläggande fri- och rättigheterna i 2 kap. regeringsformen.

FN-konventionen om rättigheter för personer med funktionsnedsättning

FN:s konvention om rättigheter för personer med funktionsned- sättning och dess fakultativa protokoll antogs 2006. Sverige ratifi- cerade konventionen och dess fakultativa protokoll 2008. Konven- tionen skapar inte i sig några nya rättigheter utan tydliggör mänskliga rättigheter i relation till personer med funktionsnedsättning. Dess syfte är att säkerställa att personer med funktionsnedsättning kan åtnjuta sina mänskliga rättigheter.

104

SOU 2023:61

Varför behövs en statlig e-legitimation?

Enligt artikel 9.1 i konventionen ska konventionsstaterna vidta ändamålsenliga åtgärder för att säkerställa att personer med funktions- nedsättning, på lika villkor som andra, får tillgång till den fysiska miljö, transporter, information och kommunikation, innefattande informa- tions och kommunikationsteknik och system, samt till andra anlägg- ningar och tjänster som är tillgängliga för eller erbjuds allmänheten både i städerna och på landsbygden. Dessa åtgärder, som ska inne- fatta identifiering och undanröjande av hinder och barriärer mot till- gänglighet, ska bl.a. avse information, kommunikation och annan service, däribland elektronisk service och service i nödsituationer.

Av artikel 9.2 följer att konventionsstaterna även ska vidta ända- målsenliga åtgärder för att bl.a. främja personers med funktionsned- sättning tillgång till ny informations- och kommunikationsteknik och nya system, däribland internet, samt främja utformning, utveck- ling, tillverkning och distribution av tillgänglig informations- och kommunikationsteknologi och system på ett tidigt stadium, så att dessa blir tillgängliga till lägsta möjliga kostnad.

Förordning om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken

Enligt 1 § första stycket förordningen (2001:526) om de statliga myn- digheternas ansvar för genomförande av funktionshinderspolitiken ska myndigheter under regeringen utforma och bedriva sin verksamhet med beaktande av de funktionshinderspolitiska målen. Av 1 § andra stycket i förordningen framgår att myndigheterna ska verka för att personer med funktionsnedsättning ges full delaktighet i samhälls- livet och jämlikhet i levnadsvillkor. Myndigheterna ska vidare särskilt verka för att deras lokaler, verksamhet och information är tillgäng- liga för personer med funktionsnedsättning. I detta arbete ska kon- ventionen om rättigheter för personer med funktionsnedsättning vara vägledande. Av 2 § samma förordning följer att myndigheterna ska genomföra inventeringar och utarbeta handlingsplaner i arbetet med att göra myndigheternas lokaler, verksamhet och information mer tillgängliga för personer med funktionsnedsättning.

105

Varför behövs en statlig e-legitimation?

SOU 2023:61

Diskrimineringslagen

Bristande tillgänglighet är en form av diskriminering enligt diskrimi- neringslagen (2008:567). Med bristande tillgänglighet avses enligt 1 kap. 4 § 3 diskrimineringslagen att en person med en funktions- nedsättning missgynnas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning. Av bestäm- melsen framgår att de åtgärder för tillgänglighet ska vidtas som är skäliga utifrån krav på tillgänglighet i lag och annan författning, och med hänsyn till de ekonomiska och praktiska förutsättningarna, varak- tigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde samt andra omständigheter av betydelse.

Förbud mot diskriminering i form av bristande tillgänglighet gäller enligt 2 kap. diskrimineringslagen inom samhällsområdena arbetsliv, utbildning, arbetsmarknadspolitisk verksamhet och arbetsförmedling utan offentligt uppdrag, start eller bedrivande av näringsverksamhet, yrkesbehörighet, medlemskap i vissa organisationer, tillhandahållande av varor och tjänster, allmän sammankomst, offentlig tillställning, hälso- och sjukvård, socialtjänst, socialförsäkring, arbetslöshetsförsäk- ring, statligt studiestöd, värn- och civilplikt samt offentlig anställning.

Lagen om tillgänglighet till digital offentlig service

Lagen (2018:1937) om tillgänglighet till digital offentlig service inne- bär att tjänster och information som en offentlig aktör tillhanda- håller genom en webbplats eller mobilapplikation ska vara tillgänglig. Enligt lagen ska digital service som tillhandahålls av en offentlig aktör genom en teknisk lösning som står under aktörens kontroll vara till- gänglig i enlighet med tillgänglighetskraven i föreskrifter som har med- delats med stöd av lagen. Därutöver ska även digital service som till- handahålls av en offentlig aktör genom en teknisk lösning som står under tredje parts kontroll, så långt det är möjligt, uppfylla samma krav. Sådan digital service ska uppfylla kraven att vara möjlig att uppfatta, hanterbar, begriplig och robust. Genom att följa en särskild europeisk standard (EN 301 549 V2.1.2), som i sin tur bygger på WCAG 2.1, kan webbplatser och mobila applikationer leva upp till kraven.

106

SOU 2023:61

Varför behövs en statlig e-legitimation?

Lagen om vissa produkters och tjänsters tillgänglighet

EU:s tillgänglighetsdirektiv trädde i kraft 2019 och syftar till att skapa gemensamma regler vad gäller tillgänglighetskrav för vissa produkter och tjänster.38 Produkter och tjänster som släpps på marknaden ska uppfylla direktivets krav senast i juni 2025.39

Direktivet genomfördes i Sverige genom lagen (2023:254) om vissa produkters och tjänsters tillgänglighet.40 Lagen träder i kraft den

28juni 2025 och innebär att vissa produkter och tjänster ska uppfylla vissa krav på tillgänglighet.

De produkter som omfattas av lagen är datormaskinvarusystem med generella användningsområden, terminalutrustning med interaktiv datorkapacitet som används vid elektronisk kommunikation eller för åtkomst till audiovisuella medietjänster, läsplattor och självbetjänings- automater. De tjänster som omfattas är tjänster som tillhandahålls konsumenter och avser elektroniska kommunikationstjänster, e-han- delstjänster, banktjänster, e-böcker, tjänster som ger åtkomst till audio- visuella medietjänster samt vissa passagerartransporttjänster. Lagen innehåller bestämmelser om CE-märkning, marknadskontroll och till- syn samt syftar till att undanröja hinder på den inre marknaden genom att öka tillgängligheten till produkter och tjänster, framför allt för per- soner med funktionsnedsättning.

Flera av de produkter, men framför allt tjänster, som omfattas av bestämmelserna i den nya lagen kan enligt vår bedömning förväntas förutsätta att användaren har tillgång till en e-legitimation. En utökad möjlighet att få tillgång till en e-legitimation kommer således vara en förutsättning för att möta kommande krav.

6.6.5Förslag under beredning m.m.

I takt med att samhället blir alltmer digitaliserat utkristalliseras nya behov som på sikt kan tänkas förutsätta att det finns en möjlighet att legitimera sig elektroniskt och därigenom, i vart fall i praktiken, kan sägas medföra ett krav på tillgång till en e-legitimation. Nedan redovisas förslag som är under beredning samt utredningsdirektiv som lämnats

38Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighets- krav för produkter och tjänster.

39Bilaga 1 till direktivet, avsnitt IV e.

40Prop. 2022/23:42.

107

Varför behövs en statlig e-legitimation?

SOU 2023:61

till en pågående utredning som kan få relevans för ett ökat behov av tillgång till en e-legitimation.

Moderna och rättssäkra regler på ställföreträdarområdet

Ställföreträdarutredningen framhöll i sitt betänkande att den digitali- sering som sker i samhället i många fall medför ett utanförskap för personer som har en god man eller förvaltare. Vidare att det är ange- läget för huvudmän att de kan få tillgång till digitala tjänster, anpassade efter eventuella inskränkningar i rättshandlingsförmåga, funktions- nedsättningar eller annan problematik för att öka deras möjligheter att delta i samhällslivet. Utredningen ansåg det vara positivt att en statlig e-legitimation införs och konstaterade att anpassade digitala tjänster för de som har en god man eller förvaltare är helt i linje med kraven i EU:s tillgänglighetsdirektiv och FN:s funktionsrättskon- vention.41 Utredningens förslag bereds i Regeringskansliet.

Eventuell skyldighet att använda digital post

Regeringen beslutade i oktober 2020 att ge en särskild utredare i uppdrag att utreda möjliga finansieringsmodeller för den samhälls- omfattande posttjänsten.42 I januari 2023 utvidgades utredarens upp- drag och utredaren ska nu enligt tilläggsdirektiven43 bl.a.

utreda förutsättningarna för att införa en skyldighet för privat- personer, enskilda näringsidkare och juridiska personer att ansluta sig till en digital brevlåda för att kunna ta emot säkra elektroniska försändelser från myndigheter,

utreda hur ett undantag för privatpersoner som inte har förut- sättningar att använda en digital brevlåda kan utformas.

Enligt tilläggsdirektivet ska de tillkommande delarna av uppdraget redovisas den 14 juni 2024. Ett kommande förslag kan således, be- roende på utformningen av obligatoriet och eventuella undantag, komma att i sin tur innebära ett krav på att inneha en e-legitimation.

41Gode män och förvaltare – en översyn (SOU 2021:36), s. 451.

42Dir. 2020:101.

43Dir. 2023:7.

108

SOU 2023:61

Varför behövs en statlig e-legitimation?

Digitalisering av rättsligt samarbete mellan EU:s medlemsstater

Den 1 december 2021 presenterade kommissionen ett förslag till för- ordning om digitalisering av rättsligt samarbete och tillgång till rätts- lig prövning i gränsöverskridande civilrättsliga, handelsrättsliga och straffrättsliga frågor samt ett direktiv med förslag till vissa följdänd- ringar i rättsakter som omfattas av förordningsförslaget. Förslagen innebär bl.a. att fysiska och juridiska personer ska få möjlighet att dels kommunicera med behöriga myndigheter elektroniskt, dels inleda rättsliga förfaranden digitalt via en europeisk åtkomstpunkt på e-juri- dikportalen. Förordningen innehåller även bestämmelser om använd- ning av videokonferensteknik, elektroniska dokument, elektroniska underskrifter och elektroniska stämplar samt elektronisk betalning av avgifter.44 I juni 2023 ingicks en provisorisk överenskommelse gällande förslag till två EU-lagar om digitalisering av rättsligt samarbete mellan EU:s medlemsstater. De nya reglerna förväntas underlätta gränsöver- skridande rättsliga förfaranden.

6.7Bedrägerier och annan identitetsrelaterad brottslighet

Det finns många fördelar med ett alltmer digitaliserat samhälle, men en tydlig baksida är den identitetsrelaterade brottslighet som begås med användning av falska eller olovligt åtkomna identitetshandlingar. Det rör sig främst om olika typer av bedrägeribrottslighet, men i förläng- ningen även annan ekonomisk brottslighet, såsom exempelvis penning- tvätts- och bidragsbrottslighet. Brotten begås till stor del med använ- dande av fysiska identitetshandlingar, men i dag används även digitala identitetshandlingar i stor utsträckning för att begå olika typer av brott.

I en myndighetsgemensam rapport om organiserad brottslighet från 2023 beskrivs BankID som en ”dörröppnare för kriminella aktö- rer”. Enligt rapporten kan kriminella aktörer som förfogar över och kontrollerar ett större antal BankID med tillhörande konton enkelt och relativt riskfritt begå brott i den utnyttjade identitetens namn och därefter förflytta brottsvinsterna mellan andra utnyttjade identi- teter.45

44Regeringskansliet Faktapromemoria 2021/22:FPM40.

45Polismyndigheten, Nationella operativa avdelningen, Myndighetsgemensam lägesbild, Organi- serad brottslighet 2023, juni 2023,, s. 20.

109

Varför behövs en statlig e-legitimation?

SOU 2023:61

Äldre personer, personer med funktionsnedsättning och socialt utsatta personer tillhör de grupper som utnyttjas och drabbas av den identitetsrelaterade brottsligheten i särskilt stor omfattning. Utan rätt åtgärder riskerar en ökad tillgång till elektronisk identifiering för dessa grupper att bli en möjliggörare för identitetsrelaterad brottslighet.

6.7.1Digitaliseringen har skapat nya möjligheter även för brottsligheten

Vid många bedrägerier är det ett centralt moment att utge sig för att vara någon annan. Gärningspersonen kan utge sig för att vara en person som inte existerar alls eller använda någon annans identitetsuppgifter olovligen. Det senare handlandet är sedan 2016 kriminaliserat genom bestämmelsen om olovlig identitetsanvändning i 4 kap. 6 b § brotts- balken. Det förekommer också att en person lånar ut sina identitets- uppgifter och på så sätt fungerar som en s.k. målvakt.

Brottsförebyggande rådet (Brå) framhöll i en rapport från 2016 att det fanns indikationer på att användningen av stulna och falska iden- titeter ökar i Sverige och att det inte sällan har kopplingar till orga- niserad brottslighet. Enligt rapporten var bakgrunden till det då ökade missbruket av identiteter den tekniska utvecklingen med ökat internet- användande, i kombination med att enskildas personuppgifter är lättill- gängliga för allmänheten i Sverige. Brå konstaterade vidare att det stora antalet godkända identitetshandlingar i Sverige46 medför att det är svårare att kontrollera handlingarna och enklare att förfalska dem, samt att det är enkelt att kartlägga en person på internet.

Ytterligare omständigheter som angavs ha betydelse för utveck- lingen var ändrade köp- och betalningsvanor som innebär att köp samt beviljande av lån och betalningar ofta sker utan direkt fysisk kontakt.47 De brottsbekämpande myndigheter som utredningen talat med har framfört att problematiken kvarstår och att motsvarande gäller även för möjligheten att starta nya bolag, eftersom det inte alltid sker

462017 års ID-kortsutredning har bedömt att antalet fysiska identitetshandlingar bör begrän- sas och föreslog i sitt betänkande att ett statligt identitetskort och pass ska vara de enda fysiska identitetshandlingar som staten utfärdar, Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14). Förslagen i betänkandet bereds i Regeringskansliet.

47Brå, Bedrägeribrottsligheten i Sverige, Kartläggning och åtgärdsförslag, (Rapport 2016:9), mars 2016, s. 148 f.

110

SOU 2023:61

Varför behövs en statlig e-legitimation?

någon direkt fysisk kontakt eller grundligare identitetskontroll från Bolagsverkets sida.48

6.7.2Olika typer av bedrägeribrottslighet

Brå ger årligen ut en publikation med anvisningar och regler för klassi- ficering av brott. I publikationen redovisar Brå ett antal huvudkate- gorier av bedrägeribrott nämligen; bedrägeri genom social mani- pulation, identitetsbedrägeri, fakturabedrägeri och kortbedrägeri, annonsbedrägeri, försäkringsbedrägeri, snyltningsbrott, grovt ford- ringsbedrägeri och övriga. 49

Enligt Brå:s bedömning kan någon form av identitetsmissbruk förekomma i samband med samtliga bedrägerikategorier, men enbart vid kreditbedrägerier är identitetsmissbruk mer eller mindre en för- utsättning för brottet.50

Nedan presenteras de huvudkategorier som enligt utredningens be- dömning är mest relevanta i relation till användning av e-legitimation.

Bedrägeri genom social manipulation

Bedrägeri genom social manipulation innefattar bl.a. undergrupperna befogenhetsbedrägeri, investeringsbedrägeri och romansbedrägeri.

Befogenhetsbedrägeri består i att gärningspersonen kontaktar ett tilltänkt brottsoffer och förmår denne att agera eller inte agera genom att utnyttja en förtroenderelation. Gärningspersonen utger sig för att ha vissa befogenheter, till exempel i egenskap av banktjänsteman, och lurar den utsatte att ge ut lösenord eller kontouppgifter alter- nativt att förmå någon att godkänna överföringar med sin e-legiti- mation. Till denna grupp hänförs även så kallade VD-Bedrägerier och telefonbedrägeri (s.k. vishing).

Investeringsbedrägeri begås genom att gärningspersonen förmår brottsoffret, under förevändningen att det exempelvis är en investering i ädla metaller eller kryptovalutor, köper något som inte existerar.

48Utredningen om bolaget som brottsverktyg (SOU 2023:32) lämnade i juni 2023 förslag som bl.a. syftar till att motverka att bolag används som brottsverktyg, exempelvis förslag om ut- ökade kontroller och möjlighet att förelägga om personlig inställelse.

49Brå, Klassificering av brott, Anvisningar och regler, version 11, januari 2023, s. 64.

50Brå, Bedrägeribrottsligheten i Sverige, Kartläggning och åtgärdsförslag, (Rapport 2016:9), mars 2016, s. 152.

111

Varför behövs en statlig e-legitimation?

SOU 2023:61

Brotten genomförs med hjälp av olika online-baserade hjälpmedel och mobiltelefoner. Som regel är denna typ av brottslighet gränsöverskri- dande till sin karaktär.

Romansbedrägeri består i att gärningspersonen inleder en kärleks- relation eller liknande relation med en person, genom fysisk kontakt eller via internet, i syfte att vilseleda personen till handling som inne- bär ekonomisk vinning för gärningspersonen, exempelvis genom att förmå personen att låna ut eller skänka pengar till gärningspersonen.

Identitetsbedrägeri/kreditbedrägeri

Identitetsbedrägeri (identitetsstöld) eller kreditbedrägeri innebär att en obehörig person stjäl eller på annat sätt kommer över någons per- sonliga uppgifter och använder dem för sin egen ekonomiska vinning. Det kan handla om att gärningspersonen olovligen köper en vara eller tjänst eller tar ett lån med den utsattes identitet. Även bolag kan användas som låntagare och sedan försättas i konkurs.

Fakturabedrägeri och kortbedrägeri

Fakturabedrägeri begås genom att gärningspersonen vilseleder en per- son eller ett företag att betala en faktura för en vara eller en tjänst som personen/företaget inte har beställt. Vid kortbedrägeri använder gärningspersonen någon annans fysiska bank-, betal- eller kreditkort för att olovligen genomföra köp av en vara eller tjänst, alternativt göra uttag av kontanter.

Annonsbedrägeri

Gärningspersonen vilseleder en intresserad köpare genom att via en annons erbjuda en vara eller tjänst till försäljning eller uthyrning. Efter att betalning ägt rum har leveransen uteblivit helt eller så har en falsk/- felaktig vara levererats. Ett annonsbedrägeri kan även ske genom att gärningspersonen agerar som en intresserad köpare till det som er- bjuds via annons, i syfte att komma över pengar från säljaren eller det som erbjuds via annonsen utan att erhålla betalning till säljaren.

112

SOU 2023:61

Varför behövs en statlig e-legitimation?

Kopplingen mellan användning av e-legitimation och denna typ av bedrägeri är inte lika självklar som för övriga redovisade. Marknads- platser på internet såsom exempelvis Tradera och Blocket kräver dock identifiering via Bank-ID som en säkerhetsåtgärd. I förlängningen kan tillgång till annans eller förfalskad e-legitimation således skapa möjlighet att begå brott även vid annonsbedrägeri.

6.7.3Äldre och personer med funktionsnedsättning är särskilt utsatta för befogenhetsbedrägerier

Under 2022 anmäldes 195 929 bedrägeribrott, vilket var ett i princip oförändrat antal jämfört med 2021. I förhållande till 2019, det första året som Brå har redovisat statistik enligt aktuell uppdelning av brotts- kategorier, har det skett en minskning om 20 procent. Det är såklart en försiktigt positiv trend men vad som är mer bekymmersamt är att bedrägeribrottsligheten mot äldre och personer med funktionsnedsätt- ning inte följer den utvecklingen. Visserligen har identitetsbedräge- rierna mot dessa minskat med 45 procent sedan 2019 men befogen- hetsbedrägerierna har i stället ökat med anmärkningsvärda 314 procent under samma tidsperiod. Mellan 2021 och 2022 skedde nästan en fördubbling av antalet anmälda brott i kategorin.51

Tabellen nedan illustrerar förändringen i antalet anmälda brott såvitt avser den bedrägeribrottslighet som har koppling till e-legiti- mationsområdet. Äldre och personer med funktionsnedsättningar är som tidigare redovisats en grupp som i stor utsträckning saknar e-legi- timation. Som framgår av tabellen är dessa grupper redan i dag sär- skilt utsatta för vissa typer av bedrägeribrottslighet. Det kan således förväntas finnas ett omfattande behov av åtgärder för att dessa grupper ska kunna inkluderas på ett säkert sätt.

51bra.se/statistik/kriminalstatistik/anmalda-brott.html (hämtad 2023-10-02).

113

Varför behövs en statlig e-legitimation?SOU 2023:61

Tabell 6.1

Bedrägeribrottslighet mellan 2019–2022

 

 

 

Antal anmälda brott

 

 

 

 

 

 

 

 

 

 

 

 

Brottstyp

 

2019

2020

2021

2022

2019–2022,

 

 

 

 

 

 

procentuell

 

 

 

 

 

 

förändring

Bedrägerier eller annan oredlighet, totalt

244 696

218 308

195 902

195 929

-20

Romansbedrägeri, totalt

993

1 058

1 162

1 312

+32

Romansbedrägeri, äldre eller funktionsnedsatt

337

257

323

457

+35

Investeringsbedrägeri, totalt

1 642

1 643

1 899

2 566

+56

 

 

 

 

 

 

Investeringsbedrägeri, äldre eller funktionsnedsatt

606

474

495

786

+30

Befogenhetsbedrägeri, totalt

3 600

4 676

6 282

10 722

+197

 

 

 

 

 

 

Befogenhetsbedrägeri, äldre eller funktionsnedsatt

1 970

2 660

4 309

8 153

+314

Identitetsbedrägeri, totalt

27 299

27 901

21 836

15 041

-45

 

 

 

 

 

 

Identitetsbedrägeri, äldre eller funktionsnedsatt

3 593

3 381

3 312

2 432

-32

Kortbedrägeri, totalt

129 087

97 197

66 477

71 559

-45

 

 

 

 

 

 

Kortbedrägeri (fysiskt kort), totalt

22 303

16 665

13 858

13 546

-40

Kortbedrägeri (fysiskt kort), äldre

 

 

 

 

 

eller funktionsnedsatt

4 018

3 261

3 704

2 813

-30

Källa: Brå.

6.7.4Bedrägeribrottsligheten och penningtvätt

Polismyndighetens finanspolissektion (Finanspolisen) presenterade 2022 en rapport med syftet att ge en bild av penningtvätt kopplat till olika typer av bedrägerier och bedöma hotet från bedrägerierna ur ett brottsvinstperspektiv.52 Enligt rapporten ägnar sig multikrimi- nella aktörer åt ifrågavarande brottslighet och risken är stor att be- drägerivinsterna återinvesteras i annan allvarlig brottslighet.

I rapporten beskrivs att moms- och välfärdsbedrägerierna utgör det största hotet ur ett brottsvinstperspektiv. Därefter kommer VD- bedrägerierna samt låne- och telefonbedrägerierna. Lånebedrägerierna eftersom de genererar stora belopp och möjliggör för grovt kriminella att tillgodogöra sig brottsvinster genom ägande av bl.a. fastigheter. Telefonbedrägerierna till följd av att det är den bedrägerityp där störst andel misstankerapporterade personer har samband med annan brotts- lighet och kriminella nätverk. Enligt Finanspolisens bedömning är tele- fonbedrägerierna en viktig inkomstkälla för den organiserade brotts- ligheten i Sverige och det finns tecken på att unga personer i utsatta områden utnyttjas som målvakter.

52Polismyndigheten, Finanspolissektionen, Bedrägerier och penningtvätt – Analys av bedrägerier ur ett brottsvinstperspektiv, (dnr A697.130/2021), januari 2022.

114

SOU 2023:61

Varför behövs en statlig e-legitimation?

Finanspolisen menar i rapporten vidare att vissa sårbarhetsredu- cerande åtgärder bör vidtas dels för att stärka bankers och andra verk- samhetsutövares förmåga att upptäcka och förhindra bedrägerierna innan de sker, dels för att skapa ökad kontroll hos utbetalande myndig- heter i samband med moms- och välfärdsbedrägerier. De exempel på sårbarhetsreducerande åtgärder som föreslås i rapporten är:

Systematisk övervakning av transaktioner på skattekonton med avseende på penningtvättsrisker – från både Skatteverkets och ban- kernas sida.

Högre grad av kundanpassning i övervakningen av transaktioner på företagskonton.

Teknisk lösning hos bankerna för att upptäcka och förhindra VD- bedrägerier innan transaktionerna genomförs.

Stärkt kontroll av identitet och löneunderlag i samband med kredit- givning för att minska risken för lånebedrägerier.

6.7.5Bedrägeribrottsligheten ger näring till annan organiserad brottslighet

Polismyndighetens Nationella bedrägericentrum (NBC) kom i en rapport från 2021 fram till att sambandet mellan den organiserade brottsligheten som aktör, och bedrägeribrottsligheten som brotts- fenomen, ger vid handen att bedrägeribrotten är en bland flera mycket framgångsrika vinstdrivande kriminella aktiviteter som individer och grupper inom organiserade kriminella miljöer engagerar sig i.53

I rapporten konstaterade NBC att bedrägeribrottslighet är en typ av brottslighet som varierat över tid och att variationer av antalet an- mälda bedrägeribrott som regel kan förklaras med införandet av nya finansiella tjänster som sedan kompletterats med olika säkerhets- lösningar. Enligt NBC framgår det klart av brottsstatistiken att digi- taliseringen av samhället har förändrat tillfällighetsstrukturerna för en rad olika former av kriminella aktiviteter på ett sätt som gynnar de per- soner som begår bedrägeribrott.

53Polismyndigheten, Nationella operativa avdelningen, Nationellt Bedrägericentrum, De orga- niserade bedrägerierna – En rapport om bedrägerier kopplade till organiserade kriminella miljöer(dnr A354.340/2021), 2021.

115

Varför behövs en statlig e-legitimation?

SOU 2023:61

Polismyndigheten delar in bedrägeribrottsligheten i sex kategorier, i huvudsak på samma sätt som Brå, inom ramen för sin analysverk- samhet. Kategorierna är social manipulation, kortbedrägerier, faktura- bedrägerier, snyltning och grova fordringsbedrägerier samt försäk- ringsbedrägerier, bidragsbedrägerier och övriga.

I en rapport som presenterades i april 2023 analyserade NBC brotts- vinsterna för bedrägeribrottsligheten 2022. I rapporten redovisas en ökning av dessa från 4,2 miljarder 2020 till 4,6 miljarder 2021 samt anges att brottsvinsten för bedrägerier uppgick till 5,8 miljarder 2022. Enligt rapporten genererade investeringsbedrägerier den högsta brotts- vinsten (1,2 miljarder kronor motsvarande 21 procent av den totala brottsvinsten), därefter telefonbedrägerier (cirka 619 miljoner mot- svarande 11 procent av totala brottsvinsten) och romansbedrägerier som genererade cirka 609 miljoner kronor i brottsvinst under 2022 (10 procent av den totala brottsvinsten). Identitetsbedrägerier i dess tre olika varianter (köp, lån och övriga) representerar enligt rapporten 14 procent av den totala brottsvinsten med cirka 820 miljoner kronor.54

I en rapport från 2022 – som utgör en del av NBC:s uppdrag att analysera förhållandet mellan bedrägeribrott och annan brottslighet som förknippas med organiserad brottslighet – redovisas bl.a. föl- jande.55

Analysen visar att det föreligger en koppling mellan bedrägeribrotts- ligheten och det dödliga skjutvapenvåldet. Ett rimligt antagande är att den kriminella ekonomin har förändrats på samma sätt som samhället i övrigt sedan 1990-talet. Ibland används begrepp som ”den nya ekonomin” för att beskriva denna förändringsprocess. Under 1990-talet och under de första åren av det nya seklet genomgick de västerländska samhällena en radikal förändring. Samhället och stora delar av såväl offentlig som privat sektor förändrades genom bland annat digitalisering, privatisering av den offentliga sektorn, förändrade kunskapskrav och en alltmer inter- nationaliserad och globaliserad ekonomi. Denna process har också påver- kat den kriminella ekonomin. I många avseenden utgör den kriminella ekonomin en inverterad version av den lagliga ekonomin. Digitaliser- ingen och avregleringen av olika marknader har skapat nya tillfällighets- strukturer för olika former av brottslighet som ofta kan vara ytterst luk- rativ, exempelvis olika slag av välfärdsbedrägerier. En sådan förändrad tillfällighetsstruktur ställer också nya krav på kunskap och organisations- förmåga, något som innebär att nya aktörer förhållandevis enkelt kan etab-

54Polismyndigheten, Nationella operativa avdelningen, Nationellt Bedrägericentrum, Brottsvins- terna för bedrägeribrottsligheten 2022, (dnr A232.846/2023), april 2023, s.2.

55Polismyndigheten, Nationella operativa avdelningen, Nationellt Bedrägericentrum, De dödliga bedrägerierna, En rapport om bedrägeribrottslighet och skjutvapenvåldet, (dnr A554.314/2022), 2022, s. 21.

116

SOU 2023:61

Varför behövs en statlig e-legitimation?

lera sig och begå brott som genererar höga brottsvinster. Denna tendens förstärks genom en ökad internationalisering och globalisering. Det är numera förhållandevis enkelt för kriminella aktörer att etablera sig utom- lands och skapa lukrativa samarbeten med utländska aktörer.

6.7.6Bolag och identiteter som målvakter utgör brottsverktyg

I rapporten Myndighetsgemensam lägesbild, Organiserad brottslighet 2023 anges att aktiebolag är den bolagsform som kriminella aktörer använder mest frekvent samt har ökat sin kunskap och förståelse för.56 Brå genomförde inom ramen för sin rapport Bedrägeribrottslig- heten i Sverige intervjuer med några centrala gärningspersoner. Vid intervjuerna framkom att identitetsuppgifter utnyttjas i samma syfte som målvakter och medhjälpare, dvs. för att minska exponering och risk för huvudgärningspersonen. Flera intervjuade myndighetspersoner beskrev enligt rapporten EU-migranters identiteter som ”den nya

tidens målvakter”.57

Enligt rapporten används identiteterna på så sätt att en medborgare från ett annat EU-land folkbokförs i Sverige och placeras i styrelsen på ett kreditvärdigt bolag, som sedan genomför omfattande kredit- köp innan det försätts i konkurs. Identiteterna kan tillhöra personer som mot betalning tillfälligt hämtas in för ett snabbt besök i Sverige och folkbokförs som inflyttad arbetskraft. Med hjälp av falska arbets- givarintyg får de ett personnummer som sedan används i brottsligt syfte av huvudmännen. I rapporten anges vidare att intervjuade myn- dighetsrepresentanter uppgett att personerna vid behov hämtas till- baka till Sverige och ställer upp vid en eventuell identitetskontroll. Ett annat alternativ är att identiteter tillhörande EU-migranter som redan befinner sig i Sverige utnyttjas i liknande syfte.58

Problematiken som Brå redovisade i rapporten redan 2016 be- skrivs fortfarande på samma sätt av de myndighetsrepresentanter ut- redningen har talat med. Ekobrottsmyndigheten har till utredningen framfört att det finns ett omfattande problem bestående i möjlig- heten att skaffa flertalet olika e-legitimationer hos olika banker och att dessa, till följd av banksekretessen, kan användas samtidigt och

56Polismyndigheten, Nationella operativa avdelningen, Myndighetsgemensam lägesbild, Organi- serad brottslighet 2023, juni 2023, s. 11 f.

57Brå, Bedrägeribrottsligheten i Sverige, Kartläggning och åtgärdsförslag, Rapport 2016:9, mars 2016, s. 143.

58A.a. s. 157.

117

Varför behövs en statlig e-legitimation?

SOU 2023:61

utan någon informationsöverföring mellan banker och myndigheter. Enligt myndigheten har den i sina brottsutredningar sett exempel på att en och samma person innehaft så många som 27 BankID samti- digt och att personen för egen del endast använde två eller tre. Res- terande BankID användes av andra personer på telefoner som de hade

isin besittning. Allt eftersom bankerna spärrade e-legitimationerna skapade personerna nya mobila BankID.

6.7.7Även bidragsbrottsligheten kan involvera användning av oriktiga identitetsuppgifter

Vid bidragsbrott vilseleder gärningspersonen ofta med hjälp av andra uppgifter än identitetsuppgifter. Enligt Brå förekommer dock miss- bruk av identiteter även vid bidragsbrott. Det handlar om att enskilda personer har flera olika identiteter, vilket möjliggör för samma person att kombinera arbete och bidrag eller ansöka om bidrag ur olika system parallellt och på så sätt få ut ersättning felaktigt.59

Utredningen om organiserad och systematisk ekonomisk brotts- lighet mot välfärden konstaterade i sitt betänkande att det förekom- mer att identitets- och bosättningsuppgifter på grundval av förfalskade eller manipulerade identitetshandlingar registreras i folkbokförings- databasen, vilka därefter används för att begå brott. Den utredningen kunde inte bedöma i hur stor omfattning oriktiga identiteter före- kommer vid kvalificerad välfärdsbrottslighet men menade att redan det faktum att sådana förekommer, vilket i sig kan skapa möjligheter att begå brott mot välfärdssystemen, gjorde förekomsten särskilt ange- lägen att motverka. 60

6.7.8Säkrare grundidentifiering tillsammans med andra åtgärder kan minska utrymmet för brottslighet

Genom det ovan redovisade framgår tydligt att det finns ett samband mellan ökad digitalisering och identitetsrelaterad brottslighet som i sin tur är sammankopplad med den grova organiserade brottslig- heten. Vid införandet av en statlig e-legitimation behöver åtgärder

59Brå, Bedrägeribrottsligheten i Sverige, Kartläggning och åtgärdsförslag, Rapport 2016:9, mars 2016, s. 159.

60Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra (SOU 2017:37), s. 267.

118

SOU 2023:61

Varför behövs en statlig e-legitimation?

vidtas för att förhindra att grupper som redan i dag är utsatta för angiven brottslighet blir än mer sårbara. Som beskrivs i avsnitt 6.3 framhålls i vårt kommittédirektiv vikten av att grundidentifieringen görs på ett noggrant och säkert sätt av en myndighet vid ett personligt besök. I dagsläget finns det ingen enligt eIDAS-förordningen anmäld svensk e-legitimationsutfärdare som genomför grundidentifiering som når upp till kravet för tillitsnivå hög enligt eIDAS-förordningen eller motsvarande tillitsnivå 4 enligt det svenska tillitsramverket. Ett sådant högre krav innebär bl.a. att användarens identitet ska verifieras vid ett personligt besök (se mer om tillitsnivåer i avsnitt 4.2.4). Således skulle en statlig e-legitimation utfärdad på en sådan högre tillitsnivå innebära en säkrare grundidentifiering med ökade möjligheter att säkerställa att en viss digital identitet representerar en viss fysisk person.

Våra bedömningar i angivna avseenden får stöd av en rapport som gavs ut av Brå i september 2023. Rapporten innehåller en omfattande genomgång av problematiken med bedrägeribrottslighet och redovisar brottsförebyggande åtgärder med syfte att, dels minska tekniska och strukturella sårbarheter, dels stärka potentiella brottsoffers motstånds- kraft. Vidare redovisas bedrägeriförebyggande åtgärder, dels utifrån identifierade tekniska och strukturella sårbarheter, dels identifierade sårbarheter hos potentiella brottsoffer.

En, bland ett flertal andra, rekommendationer från Brå är att en statlig e-legitimation införs och på sikt utvecklas. Enligt Brå skulle in- förandet av en statlig e-legitimation ha en brottsförebyggande effekt i och med en säkrare grundidentifiering.

Brå konstaterade emellertid också i rapporten att det är uppenbart att den brottsförebyggande verksamhet som bedrivs inte är i närheten av tillräcklig för att komma till rätta med brottsproblemet bedrägerier mot privatpersoner. Enligt Brå krävs åtgärder utformade med prak- tiska inslag och med syfte att göra brottsoffer mer svårlurade. Vidare menar Brå att ett tydligare helhetsperspektiv i det bedrägeriförebyg- gande arbetet, där teknik och information används tillsammans för att bättre möta bedragarnas snabba anpassningar, är nödvändigt. Brå rekommenderar bl.a. att Polismyndigheten bör ta en ledande roll i det bedrägeriförebyggande arbetet, att Polismyndigheten samverkar med andra myndigheter för att utveckla och systematisera riktade informationsinsatser till barn och unga som riskerar att användas som penningmålvakter, att Bolagsverket utökar sina kontroller av före- trädare för företag, att offentliga aktörer på alla nivåer bör utöka sitt

119

Varför behövs en statlig e-legitimation?

SOU 2023:61

stöd till personer som behöver hjälp med att genomföra digitala tjäns- ter, såsom digitala bankärenden, digitala samhällstjänster och digital handel samt att uppföljning och utvärdering av vidtagna åtgärder sker.61 Våra förslag i kapitel 7 syftar, inom ramen för vad vår uppdrags- beskrivning medger, bl.a. till att motverka den identitetsrelaterade brottsligheten. En säker grundidentifiering kan bidra till att uppfylla detta syfte. Som också Brå konstaterar kommer emellertid även andra brottsförebyggande och säkerhetshöjande åtgärder vara av avgörande betydelse för att det ska finnas en reell möjlighet att motverka den

identitetsrelaterade brottsligheten.

61Brå, Bedrägerier mot privatpersoner – De brottsförebyggande åtgärdernas träffsäkerhet, Rap- port 2023:11, september 2023, s. 65 ff.

120

7Utredningens överväganden och förslag

7.1Författningsreglering

Utredningens förslag: Den lagreglering som är nödvändig med anledning av införandet av en statlig e-legitimation ska samlas i en ny lag, benämnd lagen om elektronisk identifiering.

Övriga bestämmelser, bl.a. sådana som behövs för verkställig- heten av lagen meddelas på annan nivå än lag.

Lagen ska innehålla upplysning om att bestämmelser om elek- tronisk identifiering även finns i andra författningar. I lagen tas också in bestämmelser som definierar vissa ord och uttryck som används i lagen.

Skälen för utredningens förslag

I vårt uppdrag ingår att utarbeta de författningsförslag som behövs för att genomföra våra övriga förslag. Som framgår av det följande läm- nar vi förslag om bl.a. förutsättningar för att tillhandahålla respektive att tillhandahållas en statlig e-legitimation.

Den uppgifts- och ansvarsfördelning som aktualiseras mellan be- rörda myndigheter i den gemensamma utgivningsprocessen bör för- fattningsregleras, även om delar av det praktiska arbetet, som Myn- digheten för digital förvaltning (Digg) anför, kan hanteras genom överenskommelser och myndighetssamverkan.1 Likaså kräver den stat- liga e-legitimationen behandling av personuppgifter hos samtliga be-

1Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredo- visning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 59 f.

121

Utredningens överväganden och förslag

SOU 2023:61

rörda myndigheter, vilket också måste framgå av författningsbestäm- melser.

En första fråga är huruvida den statliga e-legitimationen bör sär- regleras eller om bestämmelser kan föras in i en befintlig författning. Också normgivningsnivå för en reglering behöver analyseras, utifrån dess innehåll och konsekvenser.

Utredningen om effektiv styrning av nationella digitala tjänster och 2017 års ID-kortsutredning, vilka båda föreslog att den statliga e-legi- timationen skulle ha det nationella identitetskortet som fysisk bärare, lämnade två disparata förslag vad gäller författningsregleringen. Medan den förstnämnda utredningen ansåg att den statliga e-legitimationen borde regleras i en egen lag, föreslog 2017 års ID-kortsutredning att den fysiska och den elektroniska identitetshandlingen skulle regleras i en ny gemensam lag.2

Enligt vår tolkning av utredningsdirektiven är det i vart fall inte inledningsvis aktuellt att använda det nationella identitetskortet eller identitetskortet för folkbokförda i Sverige som bärare för den nu före- slagna e-legitimationen (se avsnitt 7.2.2). I frånvaro av en sådan direkt koppling anser vi att e-legitimationen, som är att anse som en urkund i sig, bör omfattas av en särreglering. Frågan är då om regleringen ska ske i lag, eller om den kan införas i en förordning, såsom Digg har före- slagit.3

Till stöd för sin bedömning har Digg anfört att en reglering på annan nivå än lag framstår som ändamålsenligt med beaktande av den snäva tidsram som angetts som målsättning för att ta funktioner för statlig e-legitimation i drift. Ett ytterligare anfört argument är att det varken vid utfärdande eller användning av den statliga e-legitima- tionen förekommer några sådana betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen och som kräver reglering i lagform. Digg har bedömt att förslaget inte heller innebär sådana skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden som avses i 8 kap. 2 § första stycket 2 regeringsformen. Slutligen har Digg konstaterat att lagkrav inte behövs enligt Europeiska konventionen om skydd för de mänskliga rättigheterna eller av annat skäl.4

2reboot – omstart för den digitala förvaltningen (SOU 2017:114) s. 194, respektive Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 331 ff.

3Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation –Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 57 ff.

4Ibid.

122

SOU 2023:61

Utredningens överväganden och förslag

Våra förslag om bl.a. utformningen av den statliga e-legitimationen föranleder en annan bedömning.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gen- temot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar kan endast göras genom lag och bara under vissa förutsättningar (2 kap. 20 och 21 §§ regeringsformen).

I den databas över statliga e-legitimationer och i samband med an- sökan om och utgivning av en statlig e-legitimation, liksom vid dess användning, behandlas sådana uppgifter om enskildas personliga för- hållanden som avses i bestämmelsen i 2 kap. 6 § regeringsformen. Data- basen innehåller uppgifter om bl.a. namn och personnummer alter- nativt samordningsnummer för personer med styrkt identitet.

Vid ansökan och utgivning kan, enligt våra förslag, även ansikts- bild och fingeravtryck komma att behandlas i identifieringssyfte (se avsnitten 7.5 och 7.11.7). Därmed får, oaktat att syftet med behand- lingen av personuppgifterna är ett annat, personuppgiftsbehandlingen anses innefatta en sådan kartläggning av enskildas personliga för- hållanden som avses i 2 kap. 6 § andra stycket regeringsformen.

Idatabasen och i samband med e-legitimationernas användning behandlas även en förhållandevis stor mängd personuppgifter. Detta är omständigheter som kan tala för att intrånget i den enskildes per- sonliga integritet ska anses vara betydande. Uppgifterna i databasen behandlas främst för ändamålen att den statliga e-legitimationen ska kunna utfärdas och för att verifiera innehavarens identitet vid använ- dandet av digitala tjänster. Verksamheten i sig kan inte betraktas som särskilt integritetskänslig. De flesta av de personuppgifter som behand- las är inte av känslig karaktär. Vidare har den enskilde kännedom om att personuppgifterna behandlas, eftersom hon eller han har ansökt om e-legitimationen och därvid lämnat sina uppgifter. Behandlingen av personuppgifter får mot denna bakgrund anses innebära ett visst in- trång i den enskildes personliga integritet, men inte så betydande att det omfattas av grundlagsskyddet i 2 kap. 6 § andra stycket regerings- formen. Det innebär att behandlingen av personuppgifter i databasen inte på grund av den bestämmelsen nödvändigtvis måste regleras i lag.

Eftersom databasen kan komma att innehålla uppgifter om ett potentiellt stort antal personer, och vissa av uppgifterna är av mer integritetskänsligt slag, framstår det ändå som lämpligt att i huvud-

123

Utredningens överväganden och förslag

SOU 2023:61

sak ta in bestämmelserna om behandling av personuppgifter i lag. Både riksdagen och regeringen har uttalat att myndighetsregister som inne- håller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras i lag.5 Även de mest centrala kriterierna för att utfärda en e-legitimation, liksom vissa krav i samband med ansökan och grunder för återkallelse, är av samma skäl lämpliga att reglera i lag.6

Dessutom föreslår vi att det ska uppställas krav om att bl.a. den statliga e-legitimationen ska godkännas av offentliga aktörer (se av- snitt 7.13). Förslaget omfattar åligganden för t.ex. kommunerna. Också av det skälet krävs att vissa bestämmelser tas in i en lag och inte i en förordning.

Frågan är då om lagbestämmelserna bör infogas i en redan gällande lag eller samlas i en särskild författning. Som redan angetts föreslår vi att den statliga e-legitimationen inte ska ha någon befintlig, statlig iden- titetshandling som fysisk bärare, och att en särreglering är att föredra. Detta eftersom det saknas direkt koppling till gällande regleringar på området, såsom lagen (2015:899) om identitetskort för folkbokförda i Sverige samt passlagen (1978:302) och förordningen (2005:661) om nationellt identitetskort.

I nationell lagstiftning finns endast en lag som direkt berör e-legiti- mationer och det är lagen (2016:561) med kompletterande bestäm- melser till EU:s förordning om elektronisk identifiering. Sett till den lagens syfte och de bestämmelser den innehåller kan det emellertid inte anses lämpligt att däri föra in de aktuella bestämmelserna.

Vi bedömer således att det inte finns någon befintlig lag där nöd- vändig reglering passar in. De nya lagbestämmelserna ska därför samlas i en särskild författning. Därigenom underlättas även möjligheterna att hitta de nya bestämmelserna.

För det fall att det i framtiden bedöms finnas förutsättningar att, som 2017 års ID-kortsutredning föreslagit, använda det nationella identitetskortet som bärare av den statliga e-legitimationen, bör det övervägas om bestämmelser som rör både det fysiska identitetskortet och den statliga e-legitimationen ska regleras i samma författning.

5Bet. 1990/91:KU11 s. 33 ff. och prop. 1990/91:60 s. 58.

6Jfr prop. 2015/16:28 s. 57 f. Lagstiftningsärendet gällde bl.a. en översyn av regleringen av iden- titetskort för folkbokförda i Sverige, som gjordes mot bakgrund av införandet av bestäm- melsen i 2 kap. 6 § andra stycket regeringsformen. Regleringen fanns i en förordning och syftet var att bedöma om bestämmelserna måste eller borde tas in i lag. Översynen resulterade i att delar av förordningen infördes i lagen (2015:899) om identitetskort för folkbokförda i Sverige.

124

SOU 2023:61

Utredningens överväganden och förslag

Den föreslagna lagen bör kompletteras med verkställighetsföre- skrifter, vilket vi i förekommande fall behandlar i anslutning till våra förslag i sak. Regleringsformen kommer därmed motsvara vad som gäller för t.ex. pass och identitetskort för folkbokförda i Sverige.

De lagbestämmelser vi föreslår rör i huvudsak den statliga e-legiti- mationen. Vi föreslår emellertid även en lagbestämmelse om krav för vissa aktörer att godta andra e-legitimationer (se avsnitt 7.13). Som framgått finns – utöver tidigare nämnda lag med kompletterande be- stämmelser till eIDAS-förordningen – inga svenska författningar som direkt reglerar e-legitimationer. Det har tidigare bedömts att e-legi- timationsområdet är underreglerat och vi ser därför att det framöver kan finnas behov av ytterligare nationell lagreglering.7 Den nya lagen bör därmed benämnas på ett sätt som avspeglar dess föreslagna innehåll och tillämpningsområde, men som samtidigt är så pass allmänt hållet att lagen framöver kan kompletteras med andra bestämmelser rörande e-legitimationer. Lagen bör därmed ges ett namn som inte endast indi- kerar att den innehåller bestämmelser om den statliga e-legitimationen. Begreppet e-legitimation förekommer inte i nu gällande författningar. I stället används begreppen elektronisk identifiering och medel för elektronisk identifiering (se avsnitt 3.5). Vi föreslår därför att lagen benämns lag om elektronisk identifiering.

Elektronisk identifiering är även det begrepp som används i eIDAS- förordningen. Första gången en EU-rättsakt nämns i en svensk grund- författning skriver man ut rättsaktens fullständiga namn. I omfattande författningar kan man behöva skriva ut rättsaktens fullständiga namn flera gånger, t.ex. i början av varje kapitel. Vid upprepade hänvisningar kan ett förkortat namn av EU-rättsakten användas. Det förkortade namnet för eIDAS-förordningen i svenska författningar är EU:s förordning om elektronisk identifiering. Därtill finns den ovan nämnda lagen med kompletterande bestämmelser till EU:s förord- ning om elektronisk identifiering. Det finns därför en viss förväx- lingsrisk mellan namnet på vår föreslagna lag och kortformen för eIDAS-förordningen i svenska författningar.

För att motverka denna risk och samtidigt underlätta för personer som läser lagen att identifiera andra författningar som rör elektronisk identifiering föreslår vi att en bestämmelse tas in i lagen som lämnar upplysningar om att bestämmelser om elektronisk identifiering även finns i andra författningar. Vidare tas i lagen in bestämmelser med

7reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 170.

125

Utredningens överväganden och förslag

SOU 2023:61

definitioner av vissa ord och uttryck i lagen, t.ex. medel för elektronisk identifiering som utgörande den författningsrättsliga benämningen för e-legitimation.

7.2Utformning av den statliga e-legitimationen

7.2.1Utgångspunkter för utformningen

I våra direktiv anges bl.a. att syftet med att införa en statlig e-legiti- mation är att stärka samhällets säkerhet och robusthet, motverka be- drägerier som begås med hjälp av e-legitimationer samt underlätta för så många som möjligt att kunna få tillgång till en e-legitimation.

Under arbetets gång har det blivit allt tydligare att dessa syften i vissa avseenden dels är svåra att förena med varandra om man efter- strävar maximal uppfyllelse av respektive syfte, dels inte kan åstad- kommas fullt ut inom ramen för vårt uppdrag. En e-legitimation om- gärdad av så höga säkerhetsanordningar att bedrägeribrottslighet helt förhindras skulle sannolikt bli svåranvänd för många och innebära omotiverade integritetsintrång. Därtill kommer att utformningen av e-legitimationen i sig inte helt kan undanröja de risker som finns vid användningen av den. Således är de förslag vi lämnar avsedda att till- godose angivna syften i så stor utsträckning som möjligt. Vi bedömer att våra förslag bidrar till att uppnå de syften som anges ovan även om ytterligare åtgärder kommer att vara nödvändiga.

7.2.2Den statliga e-legitimationen

ska tillhandahållas på ett kontaktlöst kort

Utredningens förslag: Den statliga e-legitimationen ska finnas på ett kontaktlöst aktivt kort. E-legitimationens utformning ska reg- leras på förordningsnivå.

Utredningens bedömning: Den statliga e-legitimationen bör så snart som möjligt tillhandahållas på en fysisk identitetshandling utfärdad av staten.

126

SOU 2023:61

Utredningens överväganden och förslag

Skälen för utredningens förslag och bedömning

Enligt utredningsdirektiven ska den statliga e-legitimationen utfärdas på den högsta tillitsnivån (se även avsnitt 7.4.1). Kraven på e-legitima- tioner på nivå hög framgår av eIDAS-förordningen. Enligt artikel 8.2 c framgår att tillitsnivå hög ska avse ett medel för elektronisk iden- tifiering som ger en högre grad av tillförlitlighet avseende en persons påstådda eller styrkta identitet än tillitsnivån väsentlig, och definieras med hänvisning till tekniska specifikationer, standarder och förfaran- den som avser detta, inbegripet tekniska kontroller, vilkas syfte är att förhindra risken för missbruk eller ändring av identiteten.

Detaljerna avseende kraven på nivå hög utvecklas i Kommissio- nens genomförandeförordning (EU) 2015/1502 av den 8september 2015 om fastställande av tekniska minimispecifikationer och för- faranden för tillitsnivåer för medel för elektronisk identifiering i en- lighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, härefter genom- förandeförordningen (EU) 2015/1502. Genomförandeförordningen innehåller specifikationer och procedurer m.m. De bestämmelser som påverkar utformningen av en e-legitimation återfinns i bilagan (Av- snitt 2.2 Hantering av medel för elektronisk identifiering) till genom- förandeförordningen och består av krav på hantering av medlet för elektronisk identifiering, dvs. en e-legitimation.

Kravet på nivå hög medför att medlet för elektronisk identifiering ska möjliggöra åtminstone tvåfaktorsautentisering, dvs. en kombina- tion av två av faktorerna: något personen vet, kan eller har. Vidare ska medlet vara utformat på ett sådant sätt att det bara kan användas under innehavarens egen kontroll. Därutöver ska medlet för elektronisk iden- tifiering skyddas mot kopiering, förvanskning och annan manipulation, liksom mot möjlig användning av annan än användaren.

Utöver dessa krav finns det ett s.k. ”cooperation network” som är den gruppering som bildats i enlighet med artikel 12 stycke 6 i eIDAS-förordningen.8 Denna grupp har skapat en vägledning för reglerna i den nämnda genomförandeförordningen.9 Vägledningen

8Gruppen utbyter information, erfarenheter och praxis på området elektronisk identifiering men gör också sakkunnigbedömning av system för elektronisk identifiering för de system som noti- fierats från medlemsländerna.

9Guidance for the application of the levels of assurance which support the eIDAS regulation.

127

Utredningens överväganden och förslag

SOU 2023:61

innehåller inte krav rörande själva utformningen av medlet för elektro- nisk identifiering.

Enligt Digg, som är svensk deltagare i cooperation network, har det genom andra medlemsländers e-legitimationssystem utvecklats en praxis i vissa länder som innebär att kravet på manipulerings- och kopieringsskydd på nivå hög ska styrkas genom certifiering utförd av oberoende part.10 Något sådant krav framkommer dock inte av eIDAS-förordningen, genomförandeförordningen eller den tillhörande vägledningen. Vi bedömer emellertid att certifiering bör genomföras för att säkerställa en hög nivå av säkerhet.

Kan den statliga e-legitimationen tillhandahållas som en mobil applikation?

De vanligast förekommande e-legitimationerna för privat bruk på den svenska marknaden, Mobilt BankID och Freja+, nås via mobila applikationer (appar). Det innebär att appar är vad merparten av an- vändarna av e-legitimationer är mest vana vid att använda och tro- ligen också vill ha. Certifiering på nivå hög är dock svårt att genom- föra för mobiltelefonbaserade lösningar eftersom det i dagsläget saknas telefoner som innehåller certifierade säkra chip, (s.k. ”secure element”). Det beror i sin tur på att certifieringen är tid- och resurskrävande, och det gäller särskilt för en så pass komplex blandning av hård- och mjukvara som en mobiltelefon utgör.

Vanligtvis är det aktiva kort som certifieras, och även en sådan granskning är tidskrävande och dyr, trots att det är en betydligt enklare produkt med mindre komplex mjuk- och hårdvara. Tiden och kost- naden beror på produkten och hur omfattande granskning som krävs, s.k. assuransnivå. Assuransnivån avgör hur omfattande utvärderingar och tester som görs av den produkt som ska certifieras.

Ide delar av eIDAS-förordningen där det ställs krav på certi- fierade produkter gäller det för HSM-moduler och anordningar för skapande av kvalificerade elektroniska underskrifter och för dessa har assuransnivån varit 4 eller 4+. Det innebär att certifiering av säkra chip med tillhörande mjukvara i mobiltelefoner kommer att vara både kostsamt och tidskrävande. Certifiering av säkra chip i mobiltele- foner kommer därför troligen enbart att vara aktuellt för vissa nyare

10Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 35.

128

SOU 2023:61

Utredningens överväganden och förslag

telefonmodeller, men det finns då problem gällande hur certifieringen kan upprätthållas i samband med uppdatering av chipen i mobiltelefo- nerna. Detta skulle även innebära att det kommer att finnas en stor mängd mobiltelefoner som inte har certifierade chip och som därmed inte kan användas som bärare av den statliga e-legitimationen på den högsta tillitsnivån.

Effekterna av svårigheterna med att certifiera mobiltelefonbaserade lösningar medför att vi bedömer att sådana i dagsläget inte är lämpliga bärare av en statlig e-legitimation på tillitsnivå hög. Om en mobiltele- fonbaserad lösning eftersträvas för statlig e-legitimation på tillitsnivå hög så kommer den sannolikt att ta tid utveckla och få en begränsad spridning.

Frågan om en statlig e-legitimation bör tillhandahållas på en lägre tillitsnivå, där det inte behövs certifiering av bäraren, är en fråga som ligger utanför ramen för vårt uppdrag. Vi vill dock lyfta fram att de flesta som har tillgång till en mobiltelefon redan har, eller kan få, en kommersiell e-legitimation.

Även om vissa skulle uppleva att det medför högre användarvänlig- het ser vi därför att behovet av en statlig mobil e-legitimation är be- gränsat. Vissa gruppers behov från ett tillgänglighetsperspektiv skulle även inte kunna tillgodoses enbart genom en mobilbaserad lösning.

Vilken fysisk bärare är lämpligast?

Som konstateras ovan ska den statliga e-legitimationen vara baserad på en hårdvara. Det finns flera tänkbara lösningar för hur en sådan hårdvara kan utformas, till exempel aktiva kort med kontaktchip, kon- taktlösa aktiva kort, eller USB-dongel. Digg utvärderade i sin rapport flera möjliga bärare och föreslog att den statliga e-legitimationen ska ges ut som ett kontaktlöst aktivt kort.11 Digg angav som skäl för sitt förslag bl.a. att det redan finns flera mobila e-legitimationer och att ytterligare en inte bidrar till mer tillgänglighet samt att ett kontaktlöst aktivt kort kan läsas via s.k. NFC av surfplattor och mobiltelefoner men även av kortläsare till datorer.12 Vi ansluter oss till Diggs bedöm-

11Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredo- visning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 32.

12Near Field Communication är en standard för överföring av data kontaktlöst över korta sträckor som standardiseras av NFC-forum.

129

Utredningens överväganden och förslag

SOU 2023:61

ning och anser att ett kontaktlöst aktivt kort är en lämplig bärare av den statliga e-legitimationen.

De närmare bestämmelser som är nödvändiga beträffande e-legiti- mationens tekniska utformning meddelas lämpligen på lägre nivå än lag. En upplysningsbestämmelse om rätt att meddela sådana verkställig- hetsföreskrifter tas därför in i den föreslagna nya lagen om elektro- nisk identifiering.

Digg har vidare föreslagit att den statliga e-legitimationen baseras på de amerikanska PIV-specifikationerna.13 Enligt vår bedömning är det i och för sig möjligt att basera den statliga e-legitimationen på dessa standarder, men ytterligare harmoniseringskrav på området via EU-regelverk kommer troligen referera till europeiska standarder från the European Committee for Standardization (CEN) och The European Telecommunications Standards Institute (ETSI). Vi bedö- mer därför att korten bör baseras på öppna standarder och europeisk standard när sådan finns.

Vid utredningens kontakter med experter, den privata sektorn och myndigheter har den absoluta merparten framfört att det – för att den statliga e-legitimationen ska bli en framgång och nå större volymer – krävs att den tillhandahålls på en statligt utgiven fysisk id-handling, till exempel det nationella identitetskortet, och inte på ett blankt kort. Utöver att placeringen på ett fysiskt id-kort kan förväntas bidra till ett större intresse har bedömningen motiverats med att användarna i högre utsträckning kommer att uppfatta den statliga e-legitima- tionen som en värdehandling om den finns på en fysisk id-handling.

Även om Digg föreslog att den statliga e-legitimationen skulle till- handahållas på ett kontaktlöst aktivt kort bedömde myndigheten att det nationella identitetskortet på sikt skulle kunna bli en komplet- terande bärare. Utöver argumentet att vissa målgrupper inte kan få ett nationellt identitetskort anförde Digg att processen att skaffa ett sådant kort är förhållandevis lång och att priset kan ha en avhållande effekt.14 Digg föreslog slutligen att myndigheten skulle ges i uppdrag att ytterligare undersöka hur den statliga e-legitimationen kan tillhanda- hållas via det nationella identitetskortet.15

Vi menar att övervägande skäl talar för att den statliga e-legitima- tionen som utgångspunkt, och så snart det bedöms möjligt, bör till-

13Personal Identity Verification som standardiserats av NIST.

14Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 34.

15A.a. s. 92.

130

SOU 2023:61

Utredningens överväganden och förslag

handahållas på en statligt utfärdad fysisk id-handling. Ett viktigt skäl för detta är att det tydligt signalerar att det rör sig om en värdehandling.

För att tillgodose behovet för icke svenska medborgare och personer med samordningsnummer, som alltså inte kan få ett nationellt identitetskort eller ett identitetskort för folkbokförda i Sverige, kan det emellertid fortsatt finnas behov av en annan bärare även om den statliga e-legitimationen tillhandahålls på en statligt utfärdad fysisk id-handling.

7.2.3Den statliga e-legitimationen ska innehålla namn och identitetsbeteckning

Utredningens förslag: Den statliga e-legitimationen ska innehålla efternamn, förnamn, namn som visas för användaren och iden- titetsbeteckning.

Skälen för utredningens förslag

Digg tillhandahåller statens nationella identitetsfederation Sweden Connect och i dess tekniska ramverk finns en attributsspecifikation av attribut som används vid e-legitimering för det svenska ramverket för elektronisk identifiering som tillhandahålls för Sweden Connect av Digg.16 Dessa format är de som de kommersiella tillhandahållarna använder och som främst förekommer på den svenska marknaden. Den statliga e-legitimationen bör innehålla och tillhandahålla samma attri- but.17 De attribut som ska tillhandahållas är då efternamn, förnamn, namn som visas för användaren samt identitetsbeckning. Se avsnitt 7.4.2 avseende de identitetsbeteckningar som omfattas.

16Attribute Specification for the Swedish eID Framework, Version 1.7 docs.swedenconnect.se/ technical-framework/latest/04_Attribute_Specification_for_the_Swedish_eID_Framework.html (hämtad 2023-05-31).

17A.a. avsnitt 2.3.

131

Utredningens överväganden och förslag

SOU 2023:61

7.2.4Den statliga e-legitimationen ska utformas för att tillåta anpassningar och innehålla personlig prägel

Utredningens bedömning: Utformningen av den statliga e-legiti- mationen kan inte utan andra anpassningar skapa användarbarhet för alla. Regelverket bör därför utformas på ett sätt som möjlig- gör anpassningar i utformningen av den fysiska bäraren och kom- pletteras med andra åtgärder.

Det kontaktlösa kortet bör utformas med en personlig prägel.

Skälen för utredningens bedömning

Som beskrivits i avsnitt 6.6 finns det vissa författningskrav som kan påverka utformningen av den statliga e-legitimationen. EU:s tillgäng- lighetsdirektiv anger exempelvis beträffande banktjänster för konsu- menter att identifieringsmetoder, elektroniska signaturer och betal- tjänster ska vara uppfattningsbara, hanterbara, begripliga och robusta. Även FN:s funktionsrättskonvention syftar till att säkerställa att per- soner med funktionsnedsättning har tillgång till bl.a. tjänster på lika villkor som andra.

Vid utredningens kontakter med representanter för organisationer som samlar personer med olika funktionsnedsättningar eller andra hjälpbehov har flertalet aspekter som är viktiga för utformningen fram- kommit. Åsikten att utformningen ska vara sådan att den erbjuder valmöjligheter, och inte särlösningar, har varit återkommande.

Synskadades riksförbund har i samtal med utredningen särskilt fram- fört ett behov av taktila kännetecken på kortet och att utformningen ska vara möjlig att använda tillsammans med ett skärmläsarprogram som omvandlar innehåll på skärmen till tal eller punktskrift. Digg före- slog i sin rapport att kortet ska utformas utan personlig prägel men framhöll att särskilt fokus i ett framtida arbete skulle läggas på mer ut- förliga tester av tillgängligheten. Enligt Digg skulle dessa sannolikt leda till kompletteringar i form av anpassningar för att möta olika gruppers behov.18 Vi anser, liksom Digg, att det av såväl tillgänglighets- som säkerhetsskäl bör vara prioriterat att genomföra konkreta användar- undersökningar med de grupper som berörs. Ett sådant omfattande

18Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 93 och Bilaga 1, s. 4.

132

SOU 2023:61

Utredningens överväganden och förslag

arbete har inte varit möjligt att genomföra inom ramen för vårt upp- drag och lämpar sig därtill bättre i ett senare skede när en produkt finns på plats att utvärdera löpande. Enligt vår bedömning finns det emellertid, mot bakgrund av det som Synskadades riksförbund fram- hållit, skäl att redan från början tillse att kortet har någon form av prägel eftersom det utgör en förutsättning för synskadades möjlighet att särskilja e-legitimationen från andra kort. Vi anser således att kortet bör utformas med en personlig prägel.

Dyslexiförbundet har framhållit att det kan vara svårt för personer med kognitiva svårigheter att minnas koder, varför en möjlighet till inloggning med ansiktsigenkänning eller fingeravtryck skulle vara värdefull. Andra organisationer har påpekat att det finns personer som till följd av olika sjukdomstillstånd inte kan lämna fingeravtryck eller använda ansiktsigenkänning. Även dessa synpunkter behöver tas om hand i ett framtida arbete med tester.

Vi bedömer emellertid att anpassningar i utformningen av den statliga e-legitimationen inte ensamt kan leda till uppfyllelse av målet att inkludera alla som står utanför – det behövs även andra åtgärder. Ställföreträdarutredningen bedömde exempelvis att ett nationellt regis- ter över förordnade förmyndare, gode män och förvaltare samt de som har en sådan ställföreträdare, var nödvändigt för att huvudmän ska kunna få tillgång till e-legitimation och digitala tjänster i större utsträck- ning än i dag. Vi ansluter oss till den bedömningen och kan därutöver konstatera att i stort sett samtliga intresseorganisationer som vi talat med har fört fram att det finns ett stort behov av supportinsatser i användningsskedet. Detta är också något som Digg anförde i sin slut- rapport vari Digg föreslog att stödet t.ex. lämnas via offentliga aktörer såsom Statens servicecenter, kommunala DigiDel-center och bibliotek.19

Utöver att minnas koder kan en utmaning för personer med kog- nitiva svårigheter förväntas vara att minnas hur den statliga e-legiti- mationen rent praktiskt fungerar. Autism Sverige och Riksförbundet FUB har exempelvis påtalat att många av deras medlemmar sannolikt kommer att behöva hjälp vid varje enskilt användningstillfälle. För att en anpassad utformning ska kunna leda till ökad tillgänglighet krävs således en väl utvecklad supportfunktion och möjligheter för ställföre- trädare att bistå sina huvudmän.

19A.a. s. 93 f.

133

Utredningens överväganden och förslag

SOU 2023:61

För att tillgodose behovet av att över tid tillhandahålla en tillgänglig statlig e-legitimation kommer anpassningar till ny teknik ständigt be- hövas. Det kan ha att göra med ny teknik för e-legitimationen som sådan eller att nya hjälpmedel för personer med funktionsnedsättning erbjuds. Den utfärdande myndigheten behöver således ges utrymme att anpassa utformningen av den statliga e-legitimationen efter vilka alternativ för läsning som vid ett visst tillfälle behöver finnas tillgäng- liga. Utvecklingen av olika praktiska hjälpmedel som krävs bör lämp- ligen ske i samarbete med berörda organisationer.

7.2.5Säker utformning av den statliga e-legitimationen

Utredningens bedömning: Bäraren av den statliga e-legitimationen ska ha skydd mot obehörig användning, läsning och kopiering av uppgifter på bäraren.

Den statliga e-legitimationen bör använda krypteringsalgorit- mer enligt nationella eller europeiska rekommendationer. Den statliga e-legitimationen bör ha stöd för två olika krypterings- algoritmer samtidigt.

Placering av den statliga e-legitimationen på fysiskt identitets- kort bidrar till ökad säkerhet.

Kontinuiteteten i försörjningskedjan till den statliga e-legitima- tionen behöver säkerställas.

Skälen för utredningens bedömning

I likhet med Digg anser vi att den statliga e-legitimationen behöver ha flera lager av skydd och använda beprövad och testad teknik, standarder och implementationer.20 Den statliga e-legitimationen be- höver särskilt skyddas mot obehörig läsning, kopiering och användning och tillhörande uppgifter som krypteringsnycklar och biometrisk in- formation om innehavaren. Det sker genom olika tekniska skydds- åtgärder, användning av säkra standarder, implementationer, protokoll, kryptering samt underskrifter och stämplar. Den utfärdande myndig- heten behöver genomföra återkommande riskanalyser och identifiera

20Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 20.

134

SOU 2023:61

Utredningens överväganden och förslag

lämpliga skyddsåtgärder, samt följa upp dessa för att långsiktigt upp- rätthålla säkerheten i den statliga e-legitimationen. I det arbetet kan den utfärdande myndigheten söka råd och stöd från andra myndigheter med ansvar och kompetens på området.

Den statliga e-legitimationen behöver använda krypteringsalgo- ritmer och implementationer som är säkra. Det kan ske genom att det kommer nationella rekommendationer i enlighet med förslaget till en strategi och åtgärdsplan för kryptografiska funktioner från den s.k. NISU-utredningen.21 I avsaknad av sådana rekommendationer kan europeiska rekommendationer användas. Den statliga e-legitimatio- nen behöver vidare byggas så pass robust att sårbarheter i en enskild standard, algoritm eller implementation inte gör den obrukbar på det sätt som skedde för vissa nationella id-kort i samband med den s.k. ROCA-sårbarheten22.

Utredningen delar Diggs bedömning avseende behovet av stöd för fler än en uppsättning krypteringsalgoritmer.23 Den statliga e-legitima- tionen kommer att vara beroende av olika leverantörer och försörj- ningskedjan behöver därmed vara säker och det behöver därtill finnas en leveransförmåga även under perioder av svåra påfrestningar, kris och ytterst krig. Det innebär att aktörer som ingår i leveranskedjan behöver granskas och kan behöva vara föremål för en riskanalys. Detta kan begränsa antalet möjliga leverantörer som kan leverera bäraren och andra tillhörande system och komponenter som behövs för ut- formningen av e-legitimationen. Vidare behöver leveransförmågan och lager av kortämnen och andra kritiska komponenter säkerställas. Den statliga e-legitimationen kommer sannolikt omfattas av säkerhets- skyddslagens (2018:585) bestämmelser och de olika leverantörerna kommer troligen behöva teckna säkerhetsskyddsavtal.

21Informations- och cybersäkerhet i Sverige – Strategi och åtgärder för säker information i staten (SOU 2015:23), s. 303.

22Se mer om ROCA-sårbarheten i Vem kan man lita på? – Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen (SOU 2021:9), s. 229 ff.

23Ett säkert statligt Id-kort – med e-legitimation (SOU 2019:14), s. 37.

135

Utredningens överväganden och förslag

SOU 2023:61

7.2.6Den statliga e-legitimationen ska innehålla vissa biometriska uppgifter om innehavaren

Utredningens förslag: Den statliga e-legitimationen ska i ett lag- ringsmedium på bäraren innehålla ansiktsbild och fingeravtryck.

En innehavare av en statlig e-legitimation ska ha rätt att kon- trollera den information som har sparats i lagringsmediet på e-legi- timationens bärare.

Utredningens bedömning: Särskilda åtgärder bör vidtas för att skydda de biometriska uppgifterna i lagringsmediet på bäraren.

Skälen för utredningens förslag och bedömning

Hur biometriska uppgifter ska få användas av myndigheter är föremål för ständigt pågående diskussioner. För såväl pass som nationella iden- titetskort gäller – såvitt avser vad som får lagras i bäraren – att ansikts- bilder och fingeravtryck får lagras i ett chip. Frågan uppkommer där- med om även den statliga e-legitimationen ska ha motsvarande innehåll som kan användas för biometriska jämförelser.

Biometriutredningen definierade i sitt betänkande vad biometri är, eftersom legaldefinitioner av begreppet saknas. Utredningens defini- tion ser ut enligt följande.24

Biometri är ett begrepp som förekommer i olika sammanhang men som inte har en helt entydig innebörd. Det finns ingen definition i lag av be- greppet. I förarbetena till brottsdatalagen anges att biometri är ett sam- lingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig (prop. 2017/18:232 s. 86). Det innebär att tekniken är baserad på fysiska karaktärsdrag hos den som ska identifieras.

Inom brottsbekämpningen syftar biometri i regel på metoder för att identifiera en person eller avgöra om en antagen eller ifrågasatt identitet är riktig, t.ex. utifrån personens fysiska karaktärsdrag. Det kan handla om att göra datorstödda jämförelser av fingeravtryck, dna-profiler, ansikts- bilder eller röstprov. Begreppet biometri syftar alltså på den automati- serade metod eller teknik som används för att jämföra individuella känne- tecken i identifieringssyfte. Det innebär att det finns olika slags biometrier, t.ex. fingeravtrycksanalys, dna-analys, ansiktsigenkänning, röstigenkänning och handstilsanalys. (…) När vi i detta betänkande använder oss av be- greppet biometri avser vi begreppet med denna innebörd. Vi åsyftar alltså

24Biometri – för en effektivare brottsbekämpning (SOU 2023:32), s. 246.

136

SOU 2023:61

Utredningens överväganden och förslag

den teknik och metod som används för automatiserade jämförelser av olika slags individuella kännetecken.

I sin rapport har Digg konstaterat att en säkrare grundidentifiering skulle kunna genomföras om den identitetskontrollerande myndig- heten vid handläggningen av ett ansökningsärende hade tillgång till, och fick behandla, biometriska uppgifter. Myndigheten har därför föreslagit att förutsättningarna för sådan behandling ska utredas vi- dare.25 I en till rapporten kompletterande bilaga har Digg utvecklat sin syn på de tekniska och praktiska hinder som biometriverifiering på distans kan medföra och som i förlängningen kan försvåra eller för- hindra användning av e-legitimationer.

Digg har i bilagan anfört att kontroller som jämför biometriska uppgifter, som används vid exempelvis gränskontroller, inte fungerar på distans i en elektronisk miljö. Vidare har Digg påtalat att de biome- triska sensorer som finns i dagens smarttelefoner inte är åtkomliga för tredjepartstillämpningar och att det inte är möjligt att läsa ut de biometriska uppgifterna som användaren registrerat i telefonen eller att tillföra biometriska uppgifter från annat håll. Således är det inte möjligt att använda en telefons biometriska sensorer för att stärka säkerheten i elektronisk identifiering på distans. Enligt Digg skulle eventuella manipulationer, såsom avgjutningar av fingeravtryck, inte heller kunna upptäckas, eftersom avläsning av de biometriska avtrycken sker oövervakat. Vidare skulle en metod med användning av ansikts- jämförelser enligt Digg ställa krav på telefonen och omgivningen samt fodra tillförlitliga kontroller och således kräva en fungerande kom- pletterande handläggning.26

Den statliga e-legitimationen, i likhet med de kommersiella e-legi- timationerna, riskerar att missbrukas. Det är svårt att förhindra alla dessa risker, eller helt eliminera dem; däremot kan riskerna till viss mån reduceras. En vanlig risk och ett säkerhetsproblem i dag är att personer lånar ut sin e-legitimation medvetet eller omedvetet, alter- nativt att den används utan innehavarens kännedom (se mer om detta i avsnitt 6.7).

Polismyndigheten har framfört att en av svagheterna i Diggs tek- niska lösning är att det saknas biometrisk autentisering, och efterfrågat

25Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation –Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 95.

26A.a. bilaga 4 s. 3.

137

Utredningens överväganden och förslag

SOU 2023:61

att den statliga e-legitimationen bör innehålla biometriska uppgifter.27 Enligt Polismyndigheten räcker det inte att säkerställa att e-legiti- mationen utfärdas till rätt individ. En innehavare kan t.ex. överlåta e-legitimationen till någon annan, som använder den utan att det kan upptäckas. En sådan överlåten e-legitimation kan också komma att användas för id-växling.

Vi gör ingen annan bedömning än Digg såvitt avser nu rådande förutsättningar. Även om frågan på intet sätt kan anses okomplicerad ser vi emellertid, mot bakgrund av det ökande problem som den iden- titetsrelaterade brottsligheten innebär (se avsnitt 6.7), ett behov av att möjliggöra användning av alla medel som kan bidra till att motverka missbruk av den statliga e-legitimationen. Den tekniska utvecklingen sker snabbt och även om det alltså för närvarande finns vissa svårig- heter förknippade med den praktiska och tekniska användningen bör förfarandet redan nu ges stöd i lag.

Vi menar sammantaget att de nu förekommande svårigheterna inte hindrar att e-legitimationen innehåller ansiktsbild och fingeravtryck som kan användas för biometriska jämförelser. I likhet med vad som gäller för pass och nationella identitetskort ska därför den ansiktsbild och de fingeravtryck som lämnas vid ansökan om en statlig e-legiti- mation, lagras i chipet på bäraren av den statliga e-legitimationen. Uppgifterna kan därmed vid behov användas för att se att det är den person som den statliga e-legitimationen utfärdats till som också an- vänder den. Att förekomsten av uppgifterna är motiverad också för att säkerställa en innehavares identitet i samband med identitetskon- trollen och ur ett integritetsskyddsperspektiv utvecklas närmare i av- snitten 7.5 och 7.11.7. Att uppgifterna behöver skyddas genom tek- niska säkerhetsåtgärder framgår av avsnitt 7.4.4.

En innehavare av en statlig e-legitimation ska, i likhet med det som gäller i fråga om pass och nationellt identitetskort, ha rätt att hos den identitetskotrollerande myndigheten (se avsnitt 7.6.2) kontrollera den information som har sparats i lagringsmediet (jfr 22 a § passförord- ningen (1979:664) respektive 20 § förordningen om nationellt identi- tetskort).

27A.a. s. 2.

138

SOU 2023:61

Utredningens överväganden och förslag

7.3Den statliga e-legitimationen bör kunna användas för att skapa kvalificerade elektroniska underskrifter

Utredningens bedömning: Den statliga e-legitimationen bör kunna användas för att skapa kvalificerade elektroniska underskrifter.

Utredningens förslag: Den statliga e-legitimationen ska finnas på en bärare som antingen är certifierad eller kan certifieras som en anordning för skapande av kvalificerade elektroniska under- skrifter.

Skälen för utredningens bedömning och förslag

Den statliga e-legitimationen bör kunna användas för att framställa kvalificerade elektroniska underskrifter

Utredningen ska enligt direktiven analysera om den statliga e-legiti- mationen ska kunna användas för att framställa kvalificerade elek- troniska underskrifter (se mer om kvalificerade elektroniska under- skrifter i avsnitt 4.2.6). För att en kvalificerad elektronisk underskrift ska kunna skapas krävs ett kvalificerat certifikat och en anordning för skapande av kvalificerade elektroniska underskrifter.

2017 års ID-kortsutredning föreslog ett krav om att den av utred- ningen föreslagna statliga e-legitimationen skulle kunna användas för att skapa en avancerad elektronisk underskrift. Att de inte valde att föreslå att den skulle kunna användas för att skapa kvalificerade elektro- niska underskrifter motiverades med att den dåvarande behovsbilden

när det gällde elektroniska underskrifter i svenska digitala tjänster

gjorde det svårt att motivera den ökade komplexitet och kostnad som följer av kraven på särskilda tekniska och säkerhetsmässiga egenskaper i e-legitimationen.28

Utredningen om betrodda tjänster hade i uppdrag att bl.a. tydliggöra när avancerade respektive kvalificerade elektroniska underskrifter skulle användas i den offentliga förvaltningen.29 Utredningen konstaterade att användningen av avancerade elektroniska underskrifter i den offent-

28Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 336 ff.

29Vem kan man lita på? – Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen (SOU 2021:9).

139

Utredningens överväganden och förslag

SOU 2023:61

liga förvaltningen är utbredd, medan användningen av kvalificerade elektroniska underskrifter endast förekom i begränsad omfattning.30 Utredningen bedömde att tre faktorer bidragit till den begränsade användningen av kvalificerade elektroniska underskrifter. Den första faktorn var att det saknades nationella författningsbestämmelser som kräver eller främjar användning av kvalificerade elektroniska under- skrifter. Den andra faktorn var att den offentliga förvaltningen i stort bedömde att kraven som eIDAS-förordningen ställer på avancerade elektroniska underskrifter oftast tillgodosåg deras behov. Den sista faktorn var det begränsade utbudet och att aktörer inom förvalt- ningen som övervägt att använda kvalificerade elektroniska under- skrifter upplevt svårigheter med att införskaffa dem.31 Fram till okto- ber 2020 fanns det endast en tillhandahållare av kvalificerade betrodda

tjänster i Sverige. I dagsläget finns det två.32

Användningen av kvalificerade elektroniska underskrifter i Sverige har inte ökat i nämnvärd omfattning sedan Utredningen om betrodda tjänster genomförde sin analys. Det går emellertid att på EU-nivå se en tydlig utveckling genom att EU-kommissionen i flera lagstiftningsför- slag föreslår krav som innebär att kvalificerade elektroniska under- skrifter ska användas. I förslaget till revidering av eIDAS-förordningen föreslås även att identitetsplånboken ska kunna användas för att skapa kvalificerade elektroniska underskrifter och stämplar. Det kan även noteras att bristen på tillhandahållare av kvalificerade elektroniska underskrifter har skapat problem för svenska företag när de vill lämna anbud i andra länder och det uppställs krav om att anbuden ska skrivas under med kvalificerad elektronisk underskrift. Sammantaget ser vi mot bakgrund av den nu rådande utvecklingen att behovet av användning av kvalificerade elektroniska underskrifter kommer att öka. Vi bedömer mot denna bakgrund att den statliga e-legitimationen bör kunna användas för att skapa kvalificerade elektroniska underskrifter.

30A.a. s. 145.

31A.a. s. 145ff

32pts.se/sv/bransch/internet/betrodda-tjanster/Lista-over-kvalificerade-tillhandahallare/ (hämtad 2023-09-23).

140

SOU 2023:61

Utredningens överväganden och förslag

Hur ska en statlig e-legitimation användas för att framställa kvalificerade elektroniska underskrifter?

En statlig e-legitimation på tillitsnivå hög kan användas för att ge innehavaren möjlighet att skapa kvalificerade elektroniska underskrif- ter. I det följande beskrivs de tre olika sätt på vilka kvalificerade elek- troniska underskrifter kan skapas med en statlig e-legitimation.

Den statliga e-legitimationen används för identifiering i en kommersiell tjänst för kvalificerade elektroniska underskrifter

Om den statliga e-legitimationen används som ett sätt att elektro- niskt identifiera innehavaren för att få ett kvalificerat certifikat påverkas inte utformningen av bäraren av e-legitimationen. Det gäller under förutsättning att den kvalificerade tillhandahållaren förser den som identifierat sig med en egen anordning för framställande av kvalifi- cerade underskrifter. Det kan ske antingen genom att användaren får ett smartkort eller genom att den kvalificerade tillhandahållaren lagrar användarens krypteringsnyckel på en server eller att denne genererar certifikat och krypteringsnycklar vid varje användningstillfälle.33

Detta scenario förutsätter att kommersiella aktörer ges tillgång till identifieringsinformationen och id-växlar eller använder dem vid varje tillfälle för att identifiera personen till en fristående underskriftstjänst. Scenariot påverkar inte den tekniska utformningen av den statliga e-legitimationen i någon större utsträckning, men kan påverka på vilket sätt förlitande parter ansluts och hur ersättning till den som tillhanda- håller underskriftstjänsten ska se ut. Det kan vara fall där en kvalifi- cerad tillhandahållare av betrodda tjänster använder den statliga e-legi- timationen i en annan medlemsstat för att utfärda ett kvalificerat certifikat för kvalificerade elektroniska underskrifter till någon som är folkbokförd i Sverige eller som är svensk medborgare.

33Vem kan man lita på? – Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen (SOU 2021:9) s. 72 f.

141

Utredningens överväganden och förslag

SOU 2023:61

Den statliga e-legitimationen är även en anordning för att kunna skapa kvalificerade elektroniska underskrifter

Om den statliga e-legitimation även ska vara en anordning för att kunna skapa kvalificerade elektroniska underskrifter påverkas den tekniska utformningen samt den aktör som ska tillhandahålla den kvalificerade betrodda tjänsten. För att skapa kvalificerade elektroniska underskrifter behöver den som tillhandahåller tjänsten anmäla sig till tillsynsmyndig- heten och genomgå en bedömning av överensstämmelse med de krav som uppställs. Tillhandahållare av tjänsten kan vara den som utfärdar den statliga e-legitimationen, en annan myndighet eller en upphand- lad leverantör av tjänsten.

För att framställa en kvalificerad elektronisk underskrift krävs en anordning för skapande av kvalificerade elektroniska underskrifter. Det krävs då att bäraren av den statliga e-legitimationen antingen certifieras i enlighet med bestämmelserna i artikel 30 i eIDAS- förordningen med tillhörande genomförandebeslut34 eller att den redan har granskats och finns i förteckningen35 över sådana anord- ningar. Att granska en ny anordning tar normalt lång tid och är kost- samt, vilket gör att det går fortare att använda en redan certifierad anordning för kvalificerade elektroniska underskrifter och stämplar. De standarder som ska användas för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter som pekas ut i genomförandeförordningen tar främst sikte på aktiva kort med kon- taktchip. Den estniska informationssystemsmyndigheten RIA har emellertid efter en genomförd studie kommit fram till att ett aktivt kort – som fungerar som en anordning för att framställa kvalificerade elektroniska underskrifter – kan vara kontaktlöst. Vi menar mot den bakgrunden att den föreslagna ordningen är möjlig.36

Om en statlig tjänst för att skapa kvalificerade elektroniska under- skrifter skulle inrättas hade det medfört krav på certifiering av såväl verksamhet som tjänst, vilket i sin tur kräver ett omfattande merarbete

34KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

35Förteckningen finns här eidas.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD _SSCD (hämtad 2023-09-21).

36Analysis of the Possibility to Use ID1 Card´s NFC Interface for Authentication and Electronic Signing, Analysis Version 1.1 11th October 2022 Doc. D-26-7, www.ria.ee/media/ 1350/download (hämtad 2023-09-21).

142

SOU 2023:61

Utredningens överväganden och förslag

som är både tidskrävande och kostsamt. Att förbereda en verksamhet för certifiering skulle troligen kräva cirka tre års förberedelsetid och därefter sex månader för certifiering. Denna kostnad bedöms vara i storleksordningen 25 miljoner kronor för anpassning av verksamheten och efterföljande certifiering. Därutöver kommer omcertifiering att be- höva ske åtminstone vartannat år med en beräknad kostnad om 1,5 mil- joner kronor per tillfälle.

Den statliga e-legitimationen används för att identifiera användare till en fristående kvalificerad statlig underskriftstjänst

Detta scenario liknar i stort ovanstående scenario eftersom det kräver att en kvalificerad betrodd tjänst etableras, men med skillnaden att den statliga e-legitimationen i sig inte behöver vara en anordning för skapande av kvalificerade elektroniska underskrifter. Det innebär att det utifrån detta scenario inte ställs några särskilda krav på bäraren av den statliga e-legitimationen. Däremot behöver tillhandahållaren av den fristående underskriftstjänsten anskaffa eller certifiera en an- ordning för skapande av kvalificerade elektroniska underskrifter.

Utformning av bäraren

Vi bedömer att den statliga e-legitimationen bör kunna användas för att framställa en kvalificerad elektronisk underskrift och att utform- ningen ska möjliggöra att detta kan ske på alla de sätt som finns med i redogörelsen ovan. Detta med anledning av att vi ser ett behov av att skapa förutsättningar för så stor flexibilitet som möjligt. Detta innebär att den statliga e-legitimationen ska finnas på en bärare som antingen är eller kan certifieras som en anordning för skapande av kvalificerade elektroniska underskrifter.

143

Utredningens överväganden och förslag

SOU 2023:61

7.4Tillhandahållande av den statliga e-legitimationen

7.4.1Utgångspunkter

Utredningens förslag: En statlig myndighet ska tillhandahålla en e-legitimation på tillitsnivå hög enligt eIDAS-förordningen.

Skälen för utredningens förslag

Förslagen i revisionen av eIDAS-förordningen ställer, som redan fram- gått, krav på medlemsstaterna att anmäla en e-legitimation på högsta tillitsnivå enligt ett särskilt anmälningsförfarande. En anmäld e-legiti- mation kan därefter användas i digitala tjänster i andra EU-länder (gränsöverskridande användning).

Varken dessa förslag eller den gällande förordningen innehåller dock krav på att anmälan av e-legitimationssystem för gränsöverskridande användning ska omfatta en e-legitimation utfärdad av den anmälande medlemsstaten. Det är tillåtet att även anmäla e-legitimationer som utfärdas av privata aktörer (se avsnitt 4.2.3). I utredningsdirektiven anges emellertid att utgångspunkten är att utfärdande av e-legitima- tioner på den högsta tillitsnivån enligt eIDAS-förordningen bör ske av en statlig myndighet.37 Det bör vidare beaktas att om det inte finns privata e-legitimationsalternativ som uppfyller de satta kraven, måste staten säkerställa att Sverige uppfyller sina förpliktelser (se avsnitt 6.2).

I kapitel 6 har vi redovisat brister och problem med den nuvarande situationen samt övriga behov av att staten säkerställer tillgången till en säker och tillgänglig lösning för elektronisk identifiering.

Med beaktande av problem- och behovsbilden och de redovisade utgångspunkterna för vårt uppdrag föreslås att en statlig myndighet ska tillhandahålla en e-legitimation. I enlighet med vårt uppdrag före- slås att den statliga e-legitimationen ska utfärdas på tillitsnivå hög enligt eIDAS-förordningen.

Att en statlig myndighet tillhandahåller och utformar den föreslagna e-legitimationen innebär dessutom att myndigheten har det juridiska ansvaret gentemot både innehavaren och de förlitande parterna för e-legitimationen under hela dess livslängd. Det statliga ansvaret om-

37Jfr uttalandet av 2017 års ID-kortsutredning: ”[b]edömningen om en viss e-legitimation bör anmälas blir enklare när det gäller en handling som utfärdas av staten”, Ett säkert statligt ID-kort

– med e-legitimation (SOU 2019:14), s. 320.

144

SOU 2023:61

Utredningens överväganden och förslag

fattar inte bara att säkerställa att e-legitimationen utfärdas på rätt sätt utan också den identitetskontroll som görs vid utfärdandet och vid varje användningstillfälle. Det innebär dock inte, som konstaterats av 2017 års ID-kortsutredning, att myndigheten också måste utveckla den eller hantera alla andra aspekter av den löpande förvaltningen av e-legi- timationen, exempelvis användarsupport. Myndigheten kan upphandla själva handhavandet av e-legitimationen från en leverantör.38

Frågan om vilken myndighet som bör ges i uppdrag att utfärda en statlig e-legitimation återkommer vi till i avsnitt 7.6.

7.4.2Till vilka och på vilket sätt ska den statliga e-legitimationen tillhandahållas?

Utredningens förslag: Den statliga e-legitimationen får tillhanda- hållas efter ansökan.

Personkretsen omfattar sökanden som

antingen har ett svenskt personnummer, eller har tilldelats ett samordningsnummer för personer med styrkt identitet, som inte är förklarat vilande, och

innevarande kalenderår är eller ska fylla nio år.

För barn under arton år krävs att barnets vårdnadshavare har läm- nat skriftligt medgivande, om det inte finns synnerliga skäl att ändå utfärda ett statligt medel för elektronisk identifiering. I fråga om barn som är under arton år ska en handling som styrker uppgift om vem som är vårdnadshavare uppvisas, om denna uppgift inte framgår av den identitetskontrollerande myndighetens tillgängliga uppgifter.

Vid bifall till en ansökan ska e-legitimationen skyndsamt lämnas ut till sökanden.

En ansökan om statlig e-legitimation ska avslås, om sökanden inte uppfyller dessa krav och inte har styrkt sin identitet på före- skrivet sätt.

I lagen tas in bestämmelser om besluts överklagbarhet och verk- ställighet.

38A.a. s. 327.

145

Utredningens överväganden och förslag

SOU 2023:61

Utredningens bedömning: I samband med att en ansökan om stat- lig e-legitimation görs, måste behov av nödvändig tillgänglighet och support tillgodoses. Vidare behövs en funktion för användarsup- port i den utfärdande myndighetens verksamhet.

Skälen för utredningens förslag och bedömning

Utgångspunkter för överväganden om personkretsen för den föreslagna statliga e-legitimationen

I utredningsdirektiven anges att vi ska analysera hur en e-legitimation kan utformas så att så många som möjligt kan få tillgång till den, exem- pelvis personer från andra länder som arbetar eller studerar i Sverige och svenska medborgare som bor utomlands. Med beaktande härav samt behovs- och problembilden som redovisats i kapitel 6 är vår ut- gångspunkt att kretsen som får tillhandahållas en statlig e-legiti- mation bör inkludera så många som möjligt utan att kraven på en säker identifiering förbigås. Det gäller särskilt i fråga om de personer som i dagsläget har svårt att få tillgång till befintliga e-legitimationer.

Denna utgångspunkt motsvarar i stort Diggs. Enligt myndighetens förslag ska den statliga e-legitimationen tillhandahållas personer över 13 år som har personnummer eller sådant samordningsnummer där det inte råder osäkerhet om personens identitet. För den som är 16 år har föreslagits krav på godkännande av personens vårdnadshavare.39

Diggs förslag innebär en utvidgning av personkretsen i förhållande till förslaget från Utredningen om effektiv styrning av nationella tjäns- ter. Den utredningens förslag omfattade svenska medborgare och de personer som är folkbokförda i Sverige.40 Den personkretsen överens- stämmer även med förslaget från 2017 års ID-kortsutredning med tilläg- get att den som kan tilldelas en e-legitimation ska vara minst 13 år.41

39Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 42–46, samt bilaga 4. Det kan för tydlighets skull tilläggas att myndighetens förslag lämnades innan lagen (2022:1697) om samordningsnummer trädde i kraft. Lydelsen av myndighetens författningsförslag (3 §) torde ha utgått från tidigare formuleringar avseende samordningsnummer i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, se t.ex. 2 kap.

3§ tredje stycket i dess tidigare lydelse.

40reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 195 f. Se även avsnitt 4.7.2.

41Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 325 f., 333 f. och 340–342. Se även avsnitt 4.7.3.

146

SOU 2023:61

Utredningens överväganden och förslag

Personnummer och samordningsnummer är de vanligaste person- identifieringsuppgifterna i Sverige för enskilda individer.42 Det råder inte någon tvekan om att personer som är folkbokförda, och därmed har ett personnummer, ska kunna tillhandahållas en statlig e-legiti- mation. Med hänsyn till vår uppdragsbeskrivning bör övervägas huru- vida även den som tilldelats ett samordningsnummer ska omfattas av personkretsen för den statliga e-legitimationen.

I det följande redovisar vi först översiktligt viss reglering av dessa identitetsbeteckningar och våra ställningstaganden i frågan om person- kretsens avgränsning i förhållande till dessa. Därefter redovisar vi våra överväganden beträffande behov av en åldersgräns.

Personnummer

Ett personnummer är avsett att utgöra en unik identitetsbeteckning (se avsnitt 3.3). Hur det utformas och att det ska tilldelas den som upp- fyller kraven för att bli folkbokförd i Sverige framgår av 18 § folkbok- föringslagen (1991:481).43 För personer som är utländska medborgare krävs, utöver bosättning i landet, som huvudregel uppehållsrätt eller uppehållstillstånd för att få vistas i Sverige (3 och 4 §§ folkbokförings- lagen). Barn som föds inom landet eller, under vissa förutsättningar, utomlands, ska också folkbokföras (2 och 2 a §§ folkbokföringslagen).

En person med personnummer behåller det livet ut. När personen avlider avregistreras han eller hon och identiteten avslutas i folkbok- föringsdatabasen. Även när en person flyttar från riket sker en avregi- strering. Detsamma gäller för konstaterade falska identiteter. I likhet med dödsfall kommer personnumret inte längre att användas, men på samma sätt som för utflyttade individer är personnumret för den avregistrerade falska identiteten sökbar (19–22 §§ folkbokföringslagen). Personnumret och den historiska informationen som är kopplad till detta finns således kvar i folkbokföringsdatabasen.44

42Personnummer och samordningsnummer är exempel på sådana uppgifter som finns och får be- handlas i folkbokföringsdatabasen, 2 kap. 2 § lagen (2021:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, se även 1 kap. 2 § andra stycket lagen om samord- ningsnummer. Dessa identitetsbeteckningar får också ingå i det statliga personadressregistret (SPAR), om personerna har styrkt sin identitet eller gjort identiteten sannolik, 4 § lagen (1998:527) om det statliga personadressregistret, se även prop. 2007/08:58 s. 11 ff.

43Personnummer kan även tilldelas personer som inte ska folkbokföras. Det gäller dock bara för personer som har diplomatisk immunitet och vistas i Sverige under minst ett år, till exempel anställda vid en utländsk ambassad eller vissa internationella organisationer. Personnummer tilldelas i dessa fall på begäran av Regeringskansliet.

44Prop. 2017/18:145 s. 107 f.

147

Utredningens överväganden och förslag

SOU 2023:61

Den som tilldelas ett personnummer har därmed en mycket stark anknytning till Sverige. Genom koppling till personnummer, i stället för att i författningen hänvisa till personer som är folkbokförda, kommer bl.a. svenska medborgare som t.ex. utflyttat kunna ansöka om den föreslagna e-legitimationen (se avsnitt 7.6.2).

I förtydligande syfte kan tilläggas att omständigheten att en indi- vid har skyddade personuppgifter inte utgör ett hinder mot att till- handahållas fysiska identitetshandlingar utfärdade av staten, och inte heller en kommersiell e-legitimation eller den föreslagna statliga. Det- samma gäller för personer med fingerade personuppgifter enligt lagen (2006:939) om kvalificerade skyddsidentiteter.45

Samordningsnummer

För att kunna tilldelas ett samordningsnummer efter egen ansökan krävs att personen i fråga har en sådan anknytning till Sverige att hon eller han kan antas behöva en identitetsbeteckning (2 kap. 1 § första stycket 2 lagen [2022:1697] om samordningsnummer). En utlänning som äger en fastighet i Sverige anges som exempel på en person med avsedd anknytning och avsett behov, vilket däremot inte anses bör vara fallet i fråga om en person som enbart har en inskrivning på Arbetsför- medlingen eller en registrerad ansökan om asyl.46

Personer som tilldelats ett samordningsnummer behöver således inte nödvändigtvis ha samma anknytning till landet som i Sverige bo- satta personer med personnummer, men tillräcklig för att det, som tidigare anförts, bör övervägas om den förstnämnda kategorin ska ingå i personkretsen för den föreslagna statliga e-legitimationen.

På motsvarande sätt som personnummer är samordningsnummer unika. Hur samordningsnummer utformas framgår av 2 kap. 8 § lagen om samordningsnummer. Om en person med ett samordningsnummer senare blir folkbokförd ersätts samordningsnumret med ett person- nummer. Individens koppling till samordningsnumret finns emellertid kvar i registret.

45Prop. 2005/06:149 s. 53 f.

46Prop. 2020/21:160 s. 54 f. Vidare anges att i regel kan inte heller den som har ett gällande av- visnings- eller utvisningsbeslut anses ha en sådan anknytning till Sverige att hon eller han kan antas ha ett behov av ett samordningsnummer. Det krävs att den enskilde kan visa på objektiva omständigheter om sin anknytning till landet som gör att det kan antas finnas ett faktiskt behov av en identitetsbeteckning vid prövningstillfället (a.a. s. 98).

148

SOU 2023:61

Utredningens överväganden och förslag

Som konstaterats av bl.a. Digg, är det inte minst för personer med samordningsnummer som behovet är som störst att tillhandahålla en statlig e-legitimation (se även i avsnitt 6.6).47 Det ska inte vara svårare för en person med samordningsnummer att tillgodogöra sig olika tjäns- ter än för den som är folkbokförd och har personnummer.48 En för- utsättning för att tillhandahållas en statlig e-legitimation är dock, enligt vår bedömning att det är fråga om ett sådant samordningsnummer som tilldelats efter att personen i fråga har styrkt sin identitet. Där- utöver bör uppställas som krav att ett sådant samordningsnummer inte får vara vilandeförklarat (3 kap. 2 § lagen om samordningsnummer).

Lagen om samordningsnummer syftar till att stärka systemet med samordningsnummer. Huvudregeln är att den som ska tilldelas ett samordningsnummer ska styrka sin identitet vid personlig inställelse hos Skatteverket genom att överlämna vissa angivna, giltiga identitets- handlingar. Verket har även rätt att kontrollera biometriska uppgifter som finns lagrade i de överlämnade handlingarna (2 kap. 2–4 §§ lagen om samordningsnummer).

Samordningsnummer ska enligt den nya lagen tilldelas i tre nivåer beroende på vilken identitetskontroll som har föregått tilldelningen. Nivåerna benämns ”styrkt identitet”, ”sannolik identitet” respektive ”osäker identitet”. Den som tar emot uppgifter om samordnings- nummer ska få tydlig information om vilken bedömning av identi- teten som har gjorts.

I lagens förarbeten har anförts bl.a. att den högsta nivån kommer att tilldelas efter en fullgod identitetskontroll som resulterat i att iden- titeten har styrkts. Identitetskontrollen kommer att motsvara den som gäller för folkbokföring efter inflyttning till landet och således utgöra ett säkert nummer.49

Vi bedömer av säkerhetsmässiga skäl och med beaktande av behovet av ökad tillgänglighet att det är rimligt och lämpligt att personer vilka tilldelats samordningsnummer med styrkt identitet ska kunna till- handahållas den föreslagna e-legitimationen. Härigenom inkluderas förvisso inte alla personer som i dagsläget inte kan få en e-legitimation, men det bidrar till att minska det digitala utanförskapet. Vi anser att det vore en alltför stor säkerhetsrisk att ge en möjlighet att få en statlig

47Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 12 och 38.

48Prop. 2021/22:276 s. 39.

49A.a. s. 88.

149

Utredningens överväganden och förslag

SOU 2023:61

e-legitimation till personer som har samordningsnummer tilldelat på en lägre nivå än styrkt identitet.

Invändningar mot att inkludera även personer som tilldelats sam- ordningsnummer med styrkt identitet i personkretsen för en statlig e-legitimation har framförts av bl.a. Polismyndigheten. Det har anförts att det finns personer med samordningsnummer som medvetet kan tänkas lämna ifrån sig kontrollen över sin e-legitimation till någon som avser att använda innehavarens identitet i brottslig verksamhet. Detta förekommer redan i dag beträffande befintliga e-legitimationer. Genom att inkludera personer med samordningsnummer och svag an- knytning till landet finns enligt Polismyndigheten en risk för att antalet som kan utnyttjas för detta syfte kommer att öka mångdubbelt. Risken för missbruk ligger enligt myndigheten i att personer med svag anknyt- ning till Sverige får e-legitimationer utfärdade samtidigt som det i allt väsentligt saknas förebyggande åtgärder för att förhindra missbruk.50

Den nya lagen om samordningsnummer utgör en av flera vidtagna åtgärder i syfte att höja kvaliteten i Skatteverkets folkbokföringsverk- samhet.51 Skatteverket har bl.a. getts bättre förutsättningar för t.ex. identitetskontroller i samband med att samordningsnummer tilldelas. Regeringen har uttalat att en stärkt identitetskontroll där personlig in- ställelse är ett krav kan förväntas leda till att andelen fel i folkbokför- ingsdatabasen minskar och att det blir svårare att skapa och använda en falsk identitet. En stärkt kontroll förväntas också innebära en stärkt till- tro till samordningsnumret och därmed öka dess användbarhet i sam- hället.52

Det är därutöver av vikt att säkerställa att den föreslagna e-legit- imationen inte bara är korrekt utfärdad för en hög tillitsnivå. Även vid dess användning bör det finnas kontrollmöjligheter. Vår bedömning är att förutsättningarna ökar för sådan kontroll genom vårt förslag att den statliga e-legitimationen ska innehålla ansiktsbild och fingeravtryck (se avsnitt 7.2.6). Sammantaget bedömer vi att samordningsnummer

50Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, bilaga 2.

51Den statliga utredning som föregick genomförda reformer hade i uppdrag att bl.a. föreslå regelverk som ökar förutsättningarna för att folkbokföringen är tillförlitlig och ändamålsenlig samt lämna förslag om ett säkrare system för samordningsnummer (dir. 2019:54). Förslagen från Utredningen om folkbokföring och samordningsnummer (SOU 2021:57) har behandlats i regeringens propositioner Stärkt kontroll och kvalitet i folkbokföringen (prop. 2021/22:217) och Stärkt system för samordningsnummer (prop. 2021/22:276).

52Prop. 2021/22:276 s. 130.

150

SOU 2023:61

Utredningens överväganden och förslag

för personer med stärkt identitet är en tillräckligt tillförlitlig identitets- beteckning.

Av den föreslagna författningsregleringen ska således framgå att den statliga e-legitimationen kan tilldelas individer som antingen har personnummer, eller har samordningsnummer för personer med styrkt identitet, givet att det inte är vilandeförklarat (se mer om detta i av- snitt 7.5.

Ålderskrav

Vi instämmer i den bedömning som både 2017 års ID-kortsutredning och Digg gjort vad gäller behov av att uppställa ett ålderskrav.53 Vid utredningens underhandskontakter och öppna samrådsmöten med be- rörda myndigheter, organisationer och leverantörer har framkommit att även barn under 13 år har ett behov av att kunna identifiera sig elek- troniskt. Också bland remissinstanserna i fråga om förslagen från 2017 års ID-kortsutredning framfördes liknande synpunkter.

Från och med årskurs tre, dvs. när en elev fyller nio år, finns det ett behov av att självständigt kunna identifiera sig för att genomföra digitala nationella prov (DNP). Via en teknisk plattform som tillhanda- hålls av Skolverket kan både kommunala och privata skolenheter koppla in sitt befintliga inloggningssystem i DNP-systemet. Elever använder indirekt en egen e-legitimation för inloggning i systemet. Vanligtvis görs detta genom en primär inloggning till skolans eget system, vilken sker med elevens e-legitimation. Inloggning till skolans system möjliggör därefter en sekundär inloggning på den tekniska provplattformen, dvs. förfarandet utgör en id-växling. Det är därmed inte nödvändigt för ele- ven att vid varje provtillfälle ha med sig egen e-legitimation.

Något reellt behov av en e-legitimation tidigare än denna ålder har

viinte kunnat identifiera. Således föreslår vi att den statliga e-legitima- tionen ska kunna utfärdas från och med det kalenderår en individ fyller nio år. Vi ser inga risker med den föreslagna åldersnivån kopplade till utfärdandet av e-legitimationen. I likhet med vad som gäller i fråga om pass, nationellt identitetskort och identitetskort för folkbokförda, bör för sökande som är minderåriga uppställas krav på vårdnadshavarens

53Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 333 f. respektive Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av reger- ingsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 36 f.

151

Utredningens överväganden och förslag

SOU 2023:61

skriftliga medgivande, om det inte finns synnerliga skäl att ändå utfärda en statlig e-legitimation.

De risker som kan finnas vid användandet av e-legitimationen kan motverkas av förlitande parter, som i varje tjänst avgör om minder- åriga ska ha tillgång till tjänsten eller om vissa ålderskategorier ska sakna tillgång. Möjligheten att utesluta individer över en viss ålder i vissa tjänster har också framhållits som ett skäl för att ge minderåriga tillgång till en e-legitimation, eftersom e-legitimationen då kan an- vändas för att motverka s.k. gromning.54

Ansökningsförfarande och utgivningsprocess för den statliga e-legitimationen

De tidigare nämnda utredningarna, liksom Digg, har föreslagit att en statlig e-legitimation ska tillhandahållas efter ansökan. Detta är även ett krav för tillitsnivå hög enligt eIDAS-förordningen och genom- förandeförordningen (EU) 2015/1502. För den högsta tillitsnivån krävs också att utgivningsprocessen (ansökan, grundidentifiering, till- handahållande och aktivering) delas upp i mer än ett steg, eftersom arbetsuppgifter i processen måste separeras. Det är således inte tillåtet att samtliga delar hanteras av samma handläggare; någon del av pro- cessen måste ske oberoende av handläggaren. I eIDAS-förordningens regelverk förutsätts det vara aktiveringssteget som ska säkerställa denna separation. Digg har valt att föreslå en lösning med ett sådant aktiver- ingsförfarande som uttryckligen föreskrivs i genomförandeförord- ningen.55

Digg har föreslagit hur en utgivningsprocess och dess olika steg skulle kunna utformas utifrån samma förutsättning som anges i våra direktiv, nämligen ett delat myndighetsansvar avseende dels utfär- dandet av e-legitimationen, dels den föregående identitetskontrollen.

Förslaget innebär sammanfattningsvis följande.56 Vid ett personligt besök på ett utgivningsställe registrerar den identitetskontrollerande myndigheten en ansökan för individen i Diggs system för e-legiti- mationsverksamheten samt utför grundidentifieringen och dokumen- terar dess resultat. Efter att det, i Diggs tillhandahållna system för

54Uttryck som används för vuxna som i sexuellt syfte söker kontakt med barn och unga. Efter engelskans grooming.

55Se artikel 8 och avsnitt 2.1.1 i bilagan till genomförandeförordning (EU) 2015/1502.

56Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 43 ff.

152

SOU 2023:61

Utredningens överväganden och förslag

den statliga e-legitimationen, har intygats att identifieringen är genom- förd, prövar Digg ansökan genom ett automatiserat förfarande. Pröv- ningen består bl.a. i att kontrollera att grundidentifieringen genomförts med ett positivt resultat och att den åberopade identiteten finns regi- strerad i folkbokföringsdatabasen, samt att identiteten inte är markerad som avliden, försvunnen eller falsk. Om inga hinder finns mot att ut- färda e-legitimationen bifaller Digg ansökan och den identitetskontrol- lerande myndigheten kan genast utge e-legitimationen till sökanden, som därefter har att aktivera den.

Aktivering, som måste ske inom viss tid från utlämnandet, kan enligt Diggs förslag göras på tre olika sätt.

För det första, genom elektronisk aktivering i egen utrustning med hjälp av en av Digg tillhandahållen app. Tillvägagångssättet förutsätter en smarttelefon eller motsvarande, och ett giltigt svenskt pass eller giltigt svenskt nationellt identitetskort. För det andra kan e-legitima- tionen aktiveras elektroniskt i en självserviceterminal som finns i loka- len på utgivningsstället. Detta alternativ är tillgängligt för den som inte har tillgång till en smarttelefon eller motsvarande, men som innehar ett giltigt svenskt pass eller giltigt svenskt nationellt identitetskort.

Om inget av de två alternativen för aktivering skett inom 24 timmar från att kortet tillhandahölls, sänds en aktiveringskod till sökandens folkbokföringsadress eller registrerad utlandsadress, om sådan exi- sterar (se avsnitt 7.11.5). Med koden kan aktivering ske på Diggs webbplats, antingen med hjälp av egen dator, eller via dator exem- pelvis på ett av Statens servicecenters kontor. Även om en aktiverings- kod skickats med post till sökanden, kvarstår de föregående två akti- veringsalternativen.

Vi ansluter oss till Diggs förslag om utgivningsprocess. En fördel med förslaget är att utgivningsprocessen innebär att ansökan, grund- identifiering, utlämnade och, i förekommande fall, aktivering av den statliga e-legitimationen ska ske vid ett och samma tillfälle.

Vid sidan av de föreslagna rekvisiten om ålder och personnummer alternativt samordningsnummer för personer med styrkt identitet, måste sökanden kunna styrka sin identitet på ett tillförlitligt sätt. Det senare kravet redogör vi närmare för i avsnitt 7.5. Ansvaret för att utföra identitetskontrollen behandlas i avsnitt 7.6.

Om sökanden inte uppfyller uppställda krav ska ansökan avslås. Vid bifall ska e-legitimationen snarast lämnas ut på platsen för ansökan.

153

Utredningens överväganden och förslag

SOU 2023:61

Behov av tillgänglighetsanpassningar och stöd

Vid utredningens kontakter med olika intresseorganisationer har det framförts att befintliga utgivningsställen för identitetshandlingar inte tillgodoser behov av anpassningar för personer med funktionsned- sättningar. Det har exempelvis påtalats att det redan vid kölappsauto- maten saknas punktskrift eller andra hjälpmedel för att hitta fram till rätt plats i lokalen. Således behövs en översyn av de lokaler som avses att användas för ansökan och utlämnade av den statliga e-legitimatio- nen, i syfte att tillse att dessa uppfyller kraven på erforderlig tillgäng- lighet.

Enligt vår bedömning kommer det största behovet av support att uppkomma i användningsskedet. Sådan support behöver anpassas efter de skilda behov som innehavarna av den statliga e-legitimationen har och kommer sannolikt att kräva telefonsupport såväl som möjligheter att besöka fysiska platser. Behovet av hjälp i den praktiska hanteringen bör utvärderas av den utfärdande myndigheten. Vi bedömer dock att denna hantering delvis kan tillgodoses genom andra åtgärder, exem- pelvis genom att ställföreträdare får utökade förutsättningar att bistå sina huvudmän (se avsnitt 6.6.5).

Författningsreglering

I likhet med vad som gäller ansökningsförfaranden och utgivnings- processer hos Polismyndigheten och Skatteverket för pass och natio- nellt identitetskort respektive identitetskort för folkbokförda bör de centrala bestämmelserna meddelas på lagnivå.57 Det handlar t.ex. om krav på att sökanden ska styrka sin identitet på föreskrivet sätt och att den identitetskontrollerande myndigheten har möjlighet att kontrollera sökandens uppvisade identitetshandlingar på motsvarande sätt som för bl.a. identitetskort för folkbokförda (se mer om detta i avsnitt 7.5). Sådan ytterligare detaljreglering som bedöms vara nödvändig bör finnas på förordningsnivå och i myndighetsföreskrifter, bl.a. om var ansökan ska göras och krav kopplade till sådana sökanden som är minderåriga.

Av den nya lagen bör vidare framgå att en ansökan ska avslås om rekvisiten för att tillhandahållas en statlig e-legitimation inte är upp- fyllda. Vidare tas i lagen in bestämmelser om att beslut enligt lagen ska överklagas till allmän förvaltningsdomstol, att prövningstillstånd ska

57Det av Polismyndigheten utfärdade nationella identitetskortet är förordningsreglerat, se avsnitt 7.5.

154

SOU 2023:61

Utredningens överväganden och förslag

krävas för överklagande till kammarrätten och att beslut får verkställas omedelbart, om något annat inte anges i beslutet.

Den personuppgiftsbehandling som blir aktuell för de berörda myn- digheterna redovisas närmare i avsnitt 7.11. Vissa bestämmelser om personuppgiftsansvar och nödvändig personuppgiftsbehandling bör, som framgår även av avsnitt 7.1, införas i lag och kompletteras genom verkställighetsföreskrifter, såsom bestämmelsen om att vissa behövliga personuppgifter för ansökan får hämtas från Skatteverkets folkbok- föringsdatabas (se avsnitt 7.11.5).

Det behov av stöd och support som vi bedömer föreligga under ansökningsförfarandet och utgivningsprocessen samt vid den statliga e-legitimationens användning förutsätter inte särskild reglering. Det finns redan tillämpliga regelverk som myndigheter har att förhålla sig till i tillgänglighetshänseende (se avsnitt 6.6.4).

7.4.3En e-legitimation för hela samhället

Utredningens bedömning: Den statliga e-legitimationen ska kunna användas både i offentlig och privat sektor. I såväl tekniskt som rättsligt hänseende kan olika lösningar vara att föredra för respek- tive sektor. Det ankommer därmed på den utfärdande myndigheten att utforma och tillhandahålla nödvändiga och lämpliga tjänster åt förlitande parter och privata tjänsteleverantörer avseende dels kon- troll av e-legitimationers giltighet och användare (elektronisk iden- titetskontroll), dels leverans av identitetsintyg efter en elektronisk identitetskontroll (utställande av identitetsintyg).

Skälen för utredningens bedömning

Enligt Diggs förslag ska den statliga e-legitimationen kunna användas i hela samhället, dvs. både i offentlig och privat sektor. Digg har före- slagit att myndigheten tillhandahåller olika tjänster åt förlitande parter och privata tjänsteleverantörer med avseende på dels kontrollerna av om använd e-legitimation är giltig och vem som har brukat den (elek- tronisk identitetskontroll), dels leveransen av identitetsintyg efter en elektronisk identitetskontroll (utställande av identitetsintyg).

155

Utredningens överväganden och förslag

SOU 2023:61

Förslagen innebär sammanfattningsvis följande.58

[e]n statlig förlitandetjänst inrättas genom vilken Digg tillhandahåller både elektroniska identitetskontroller och identitetsintyg. Utöver detta in- rättas det även en statlig identifieringstjänst där Digg endast utför iden- titetskontroller utan att leverera identitetsintyg.

Som en följd av uppdelningen i två olika tjänster behöver det rättsliga mellanhavandet konstrueras på delvis olika sätt. När den statliga förlitande- tjänsten används uppkommer ett rättsförhållande direkt mellan Digg och förlitande aktör. När identitetsintygen i stället tillhandahålls av en privat leverantör av identitetsintyg uppkommer dels ett rättsförhållande mellan Digg och den privata leverantören av identitetsintyg, dels ett rättsför- hållande mellan den privata leverantören och den förlitande aktör som den privata leverantören förser med identitetsintyg. För den statliga iden- tifieringstjänsten behöver Digg bara tillhandahålla ett maskinellt gränssnitt, API75, för att verifiera användares identitet.

[p]rivata leverantörer av identitetsintyg ska få ansluta sig till en statlig identifieringstjänst för att i sin tur ställa ut identitetsintyg i det format och på det sätt som de överenskommer om med sina respektive kund- grupper. Det blir därmed den privata leverantören av identitetsintyg som gentemot de privata förlitande aktörerna får hantera förlitandeavtal, an- svarsfrågor, ersättningar, uppföljningar och sanktioner om en förlitande aktör bryter mot uppsatta regler. Diggs roll begränsas till att kontrollera om den använda e-legitimationen är giltig och vem som har brukat den för att sedan besvara den privata leverantörens fråga om en användares iden- titet kan verifieras eller inte.

Digg har bedömt att den föreslagna förlitandetjänsten bör kunna om- fattas av lagen (2013:311) om valfrihet i fråga om tjänster för elektro- nisk identifiering. Digg har vidare anfört att den statliga e-legitima- tionen ska ansöka om att ingå i valfrihetssystem i fråga om tjänster för elektronisk identifiering. På så sätt kan nämnda lag tillämpas för upphandlande myndigheter för att få tillgång till identifieringstjänster för den statliga e-legitimationen.

Regleringen i lagen om valfrihetssystem innebär att det är varje upphandlande myndighet som tillämpar system och tecknar avtal med leverantörerna. Digg agerar ombud och hanterar administration och av- talstecknande med stöd av fullmakter. I förarbetena till lagen om val- frihetssystem i fråga om tjänster för elektronisk identifiering anför- des att E-legitimationsnämnden (vars roll Digg numera övertagit) skulle bistå de upphandlande myndigheterna för att säkerställa att de krav på

58Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 50 ff.

156

SOU 2023:61

Utredningens överväganden och förslag

leverantörerna som ställs vid anskaffningen av tjänsterna för elek- tronisk identifiering och de kontrakt som tecknas är förenliga med det regelverk som sätts upp.59

Regeringen har föreslagit att den nuvarande ombudsmodellen ska ersättas med en modell där den myndighet som regeringen bestämmer tillhandahåller auktorisationssystem för elektronisk identifiering och för digital post. Regeringen avser att utse Digg till den tillhandahål- lande myndigheten. I ett auktorisationssystem godkänner den till- handahållande myndigheten att leverantörer av tjänster för elektronisk identifiering ansluter till systemet och ingår avtal om sådana tjänster med leverantörerna. Det kommer alltså inte längre vara respektive upp- handlande myndighet som fattar beslut och ingår avtal med godkända leverantörer. I den tillhandahållande myndighetens uppgift ingår även att ta ut en avgift från de offentliga aktörerna och att betala ut ersätt- ning till de godkända leverantörerna i enlighet med de villkor som ställts upp vid inrättandet av ett auktorisationssystem. Enligt regeringen fram- står det som en mer ändamålsenlig och enklare modell att en och samma myndighet utför uppgiften att tillhandahålla system för de övriga statliga myndigheternas, kommunernas och regionernas räk- ning. Den nya lagen föreslås träda i kraft den 1 januari 2024.60

Vi bedömer att det finns ett behov av tjänster avseende elektro- nisk identitetskontroll och utställande av identitetsintyg som Digg har föreslagit. Det bör ankomma på den utfärdande myndigheten att utforma dessa på lämpligt sätt. Med beaktande av regeringens förslag om auktorisationssystem kan tilläggas att den beskrivna förlitande- tjänsten kan komma att omfattas av den nya lagen om auktorisations- system, i stället för lagen om valfrihetssystem.

59E-legitimationsnämnden skulle därmed svara för annonsering och utformning av förfrågnings- underlag, liksom för godkännande av och tecknande av kontrakt med de intresserade leverantörer som uppfyller de krav som ställs (prop. 2012/13:123 s. 36 f.).

60Prop. 2023/24:6 s. 23 och 43.

157

Utredningens överväganden och förslag

SOU 2023:61

7.4.4Säkerhetsbehov vid tillhandahållande av den statliga e-legitimationen

Utredningens bedömning: Utfärdandet och infrastrukturen för tillhandahållande av den statliga e-legitimationen kommer att be- höva vara robust, uthållig och säker.

Tillhandahållaren av den statliga e-legitimationen behöver ha en väl utvecklad säkerhetskultur som arbetar med ständiga förbätt- ringar, uppföljningar, granskningar och tester av säkerheten så att säkerheten uppdateras i takt med att hot- och risker utvecklas.

Tillhandahållandet behöver kunna ske under normala förhåll- anden, svåra påfrestningar, höjd beredskap och krig. Verksamheten kommer sannolikt att omfattas av regelverket kring säkerhetsskydd och tillhandahållaren behöver inledningsvis genomföra en säker- hetsskyddsanalys.

Skälen för utredningens bedömning

Av våra direktiv framgår att vi ska analysera eventuella risker för infor- mationssäkerheten. En generell genomgång av riskbilden finns i av- snitt 6.5. I avsnitt 7.2.4 redogörs även för de skyddsåtgärder som vi bedömer krävs för att utformningen av den statliga e-legitimationen ska hantera de risker som kan uppstå. Utöver detta kommer den statliga e-legitimationen att vara en viktig infrastruktur för elektronisk identi- fiering av personer i Sverige. Det kommer innebära krav på att infra- strukturen och alla ingående komponenter har en hög tillgänglighet och även i övrigt väl utvecklade säkerhetsåtgärder. Det är därför viktigt att utfärdaren av den statliga e-legitimationen upprätthåller en hög nivå av informationssäkerhet med hög tillgänglighet, riktighet och konfi- dentialitet. Detta kräver även att utfärdaren har den finansiering som fordras för att upprätthålla denna höga nivå. Vi ser därför anledning att tydliggöra vilka åtgärder som vi bedömer att utfärdaren behöver vidta i detta avseende. Kostnaderna för åtgärderna framgår av av- snitt 9.5.

Utfärdaren bör arbeta med ett ledningssystem för informations- säkerhet. Detta är ett stöd för hur informationssäkerhetsarbetet styrs i verksamheter och ger ett systematiskt och riskbaserat arbetssätt. Led- ningssystem för informationssäkerhet är svensk och internationell

158

SOU 2023:61

Utredningens överväganden och förslag

standard.61 Enligt en av standarderna i serien SS-EN ISO/IEC 27001 kan en verksamhet certifieras. Vi bedömer att utfärdaren bör sträva efter att certifieras enligt SS-EN ISO/IEC 27001 eftersom det kan medföra ökad tillit och förtroende för utfärdaren av den statliga e-legi- timationen.62

Utfärdaren behöver utifrån ledningssystemet arbeta med förebyg- gande säkerhetsarbete, exempelvis riskanalyser för att prioritera och vidta rätt säkerhetsåtgärder. Arbetet behöver kompletteras med om- världsbevakning och övervakning av tjänsterna för att hantera inciden- ter. Vidare behöver utfärdaren planera för att hantera mer omfattande störningar som kan inträffa, s.k. kontinuitetshantering.63 Infrastruk- turen behöver byggas robust med en hög uthållighet så att fel i av- brott i enskilda komponenter i infrastrukturen, nätverkstjänster eller system inte leder till avbrott eller störningar i utfärdandet eller möj- ligheten att använda de statliga e-legitimationerna.

Informationen som lagras i databasen behöver ha ett riktighets- skydd som visar om oönskade förändringar av informationen har skett. Den information som lagras och genereras behöver beakta datamini- meringsprinciper, men även skyddas under lagring, överföring och användning (se även avsnitt 7.11 om skydd av databasen).

Utfärdaren bör samarbeta med andra myndigheter som har särskild kompetens inom området informations- och cybersäkerhet och som kan bidra med råd och stöd i framtagandet av infrastrukturen, vid upp- handling av drift, system och komponenter i infrastrukturen samt vid infrastrukturens vidareutveckling och förvaltning. De myndigheter som främst kan komma i fråga är de myndigheter som ingår i det natio- nella cybersäkerhetscentret.64 I utfärdarens säkerhetsarbete kopplat till riskanalyser och säkerhetsåtgärder behöver även underleverantörer och deras eventuella underleverantörer ingå, i syfte att upprätthålla nödvändig säkerhet i hela systemet.

61Övergripande består ISO 27000-serien av två olika typer av standarder: Ledningssystem- standarder för att stödja ett systematisk arbetssätt. Dessa har likheter med andra lednings- systemstandarder såsom ISO 9001 – Kvalitetsledning, och ISO 14000 – Miljöledning och väg- ledningsstandarder för säkerhetsåtgärder för att skydda informationen.

62Om ISO 27000 och certifiering enligt SS-EN ISO/IEC 27001:2023, www.sis.se/iso27001/ dettariso27001/ (hämtad 2023-09-22).

63Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet på en tolerabel nivå. Oavsett vilken störning den utsätts för. www.msb.se/sv/amnesomraden/krisberedskap- -civilt-forsvar/samhallsviktig-verksamhet/kontinuitetshantering/ (hämtad 2023-09-22).

64Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap och Säkerhetspolisen har inrättat ett nationellt cybersäkerhetscenter på uppdrag av regeringen. Arbetet görs i nära samverkan med Post- och telestyrelsen, Polismyndigheten och Försvarets materielverk.

159

Utredningens överväganden och förslag

SOU 2023:61

Organisatoriska säkerhetsåtgärder i form av riktlinjer, processer och rutiner behöver införas för dem som arbetar med och i utfärdan- det av den statliga e-legitimationen. Syftet är att undvika person- beroenden vilket också motiverar att vissa kritiska moment bör utföras av minst två personer tillsammans. Därutöver bör kontroller genom- föras, t.ex. i samband med beslutsprocesser inför förändringar i kom- ponenter och system. Detta görs för att undvika risken att en enskild medarbetare av misstag eller illvilja påverkar säkerheten i hela infra- strukturen.

Uppföljning och tester bör ske genom återkommande säkerhets- granskningar, revisioner och penetrationstester. Sådana granskningar kan ske genom stöd från myndigheter med särskilt kompetens på om- rådet, men det kan även upphandlas på marknaden.

Utfärdaren behöver även vidta tekniska säkerhetsåtgärder som kryptering, digitala signaturer, stämplar och andra skydd.

Utfärdaren kommer att behöva hantera säkerhetsskyddsklassifi- cerad information och verksamheten i sig själv kommer sannolikt att omfattas av säkerhetsskyddslagen. Vidare kan förlitande parter tänkas vilja teckna säkerhetsskyddsavtal med utfärdaren.

I samband med anskaffning av driftstjänster kan det även bli aktuellt för den som tillhandahåller e-legitimationen att teckna säkerhets- skyddsavtal. Säkerhetsskyddsanalys och vidare överväganden i enlighet med säkerhetsskyddsregleringen behöver därför göras av utfärdaren av den statliga e-legitimationen.

Den statliga e-legitimationen kan därtill komma att bli viktig ur ett totalförsvarsperspektiv. Det innebär att utfärdaren av den statliga e-legitimationen kan behöva planera för och ta i anspråk anställda för totalförsvarsbehov i händelse av höjd beredskap eller krig samt vidta övriga åtgärder som krävs för att säkerställa ett uthålligt tillhanda- hållande av den statliga e-legitimationen.

7.5Grundidentifiering

Utredningens förslag: Innan en statlig e-legitimation får utfärdas krävs att sökanden har styrkt sin identitet.

En sökande som vid identitetskontrollen överlämnar pass, iden- titetskort eller motsvarande handling som är försedd med inne- havarens ansiktsbild, eller som innehåller ett lagringsmedium med

160

SOU 2023:61

Utredningens överväganden och förslag

ansiktsbild och fingeravtryck, ska vara skyldig att på begäran låta den myndighet som utför identitetskontrollen ta hans eller hennes fingeravtryck och en ansiktsbild i digitalt format för kontroll av att dessa motsvarar dem som finns på eller är lagrade i handlingen.

Regeringen eller den myndighet som regeringen bestämmer ska ges rätt att meddela föreskrifter om undantag från skyldigheten att låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild. I den nya lagen ska införas en upplysningsbe- stämmelse om att regeringen eller den myndighet regeringen be- stämmer får meddela de föreskrifter som behövs för verkställig- heten av kontrollen att en sökande har styrkt sin identitet.

Skälen för utredningens förslag

Utgångspunkter för våra överväganden

Enligt kommittédirektiven ska vi analysera vilka kontroller av identi- teten som behöver vidtas och om omfattningen av kontrollen ska vara jämförbar med den kontroll som sker för andra identitetshandlingar.

Vi ska för våra överväganden beakta de förslag som Digg har lämnat och de synpunkter som framkommit inom ramen för myndighetens regeringsuppdrag.

Som tidigare redovisats innebär den av Digg föreslagna utgivnings- processen för en statlig e-legitimation ett delat myndighetsansvar på så vis att grundidentifieringen av sökanden utförs av en annan, identi- tetskontrollerande myndighet (se avsnitt 7.4.2). Sökanden ska styrka sin identitet i enlighet med de rutiner och krav som den identitetskon- trollerande myndigheten enligt förslaget ska få föreskriva.65 Digg har vidare konstaterat att kraven i avsnitt 2.1.1 (Ansökan och registrering) i bilagan till kommissionens genomförandeförordning (EU) 2015/1502 måste beaktas vid den närmare utformningen av ansökningspro- cessen.66

Utifrån uppdragsbeskrivningen i våra direktiv och de utgångs- punkter som ska beaktas har vi, som framgått, anslutit oss till Diggs förslag om ansökningsförfarande och utgivningsprocess (avsnitt 7.4.2, se även avsnitt 7.6.2 om ansvaret för grundidentifieringen).

65Myndigheten för digital förvaltning, En säker och tillgänglig digital identitet – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 42 ff. samt bilaga 4.

66Ibid.

161

Utredningens överväganden och förslag

SOU 2023:61

Den hänvisade bilagan till genomförandeförordningen (EU) 2015/ 1502 innehåller tekniska specifikationer och förfaranden för tillits- nivåerna låg, väsentlig och hög avseende de medel för elektronisk identi- fiering (dvs. en e-legitimation) som utfärdats inom ramen för ett anmält system för elektronisk identifiering.

I avsnitt 2.1.1 i bilagan uppställs, för samtliga tillitsnivåer, krav på att (i) säkerställa att den sökande är medveten om villkoren förenade med användningen av medlet för elektronisk identifiering, (ii) säker- ställa att den sökande är medveten om rekommenderade säkerhets- åtgärder kopplade till medlet för elektronisk identifiering, och (iii) samla in de relevanta identitetsuppgifter som krävs för styrkande och kon- troll av identitet.

Beträffande relevanta uppgifter för identitetskontrollen föreslår Digg uttryckligen att personnummer alternativt samordningsnummer ska omfattas av kontrollen. Det anges inte i detalj hur grundidenti- fieringen ska genomföras utan föreslås att sökanden styrker sin iden- titet i enlighet med de rutiner och krav som föreskrivits av den iden- titetskontrollerande myndigheten. I anslutning till beskrivningen av utgivningsprocessen uttalas vidare att med grundidentifiering avses i sammanhanget ”att kontrollera att en sökandes identitet är styrkt” och att begreppsanvändningen ”ansluter väl till nuvarande regler inom området, exempelvis Polismyndighetens föreskrifter för pass och natio- nellt identitetskort”.67

Identitetskontroller för vissa befintliga identitetshandlingar samt vid registrering i folkbokföringsdatabasen och ärenden om medborgarskap

För våra överväganden om vilka kontroller av identiteten som behöver vidtas vid utfärdandet av en statlig e-legitimation redovisas här kort- fattat de identitetskontroller som görs av Polismyndigheten, Skatte- verket och Migrationsverket i fråga om allmänt accepterade identitets- handlingar samt vid prövning av ansökan för medborgarskap. Den identitetskontroll som görs vid tilldelning av samordningsnummer har berörts i avsnitt 7.4.2. För en utförlig redogörelse, som inkluderar exempelvis körkort hänvisas till 2017 års ID-kortsutredning.68

67Myndigheten för digital förvaltning, En säker och tillgänglig digital identitet – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 42.

68Ett säkert och statligt ID-kort – med e-legitimation (SOU 2019:14), s. 107 ff.

162

SOU 2023:61

Utredningens överväganden och förslag

Beviskravet styrkt identitet används såväl vid ansökan om pass och nationellt identitetskort som vid ansökan hos Skatteverket om identi- tetskort för folkbokförda i Sverige och i samband med ansökan hos Migrationsverket om svenskt medborgarskap. Även för den som – oav- sett medborgarskap – ska lämna en anmälan om inflyttning från ut- landet uppställs krav på personlig inställelse hos Skatteverket för iden- titetskontroll. Detsamma gäller i fråga om en anmälan enligt samma paragraf av bl.a. den som är avregistrerad som försvunnen och ska folk- bokföras (26 och 26 a §§ folkbokföringslagen).69

Bestämmelserna om pass och nationellt identitetskort regleras i passlagen och passförordningen respektive förordning om nationellt identitetskort.70

Pass och nationellt identitetskort, som utfärdas av Polismyndig- heten och enbart till svenska medborgare, är de enda giltiga dokument som styrker både identitet och medborgarskap.71 I motsats till andra identitetshandlingar gäller pass och nationellt identitetskort som rese- handling till alla länder (pass) respektive inom Schengenområdet (nationellt identitetskort). Till skillnad från vissa andra länder upp- ställs i Sverige inget krav på att vare sig medborgare eller personer som vistas i landet ska ha ett nationellt identitetskort.72

Oavsett om det är fråga om en ansökan om pass eller nationellt identitetskort måste alltså sökanden inställa sig personligen. Sökanden måste i samband med ansökan styrka sin identitet, sitt svenska med- borgarskap och övriga personuppgifter (6 § passlagen respektive 2 och 3 §§ förordningen om nationellt identitetskort). Identiteten kan styr- kas på de sätt som anges i 3 kap. 2 och 3 §§ PMFS 2019:3 FAP 530-1.

Det vanligaste sättet att styrka sin identitet är genom uppvisande av en giltig identitetshandling, vilket för nämnda identitetshandlingar innebär ett giltigt (i) svenskt vanligt eller extra pass, (ii) nationellt iden- titetskort, (iii) svenskt körkort, (iv) svenskt SIS-märkt identitetskort, eller (v) identitetskort för folkbokförda i Sverige. Om det inte är möj-

69Av 26 § andra stycket framgår att kravet på personlig inställelse inte gäller anmälan för barn som ska folkbokföras här i landet enligt 2 a § eller 3 § tredje stycket folkbokföringslagen, se prop. 2021/22:217 s. 37 och Skatteverkets rättsliga vägledning, www4.skatteverket.se/ rattsligvagledning/edition/2023.8/330375.html (hämtad 2023-08-04).

70Regleringen kompletteras med Polismyndighetens föreskrifter och allmänna råd om pass och nationellt identitetskort PMFS 2021:3 FAP 530–1.

71Pass och nationellt identitetskort får utfärdas utom riket av utlandsmyndigheter, se 2 § tredje stycket passlagen och 3 kap. förordningen (2014:115) med instruktion för utrikesrepresen- tationen.

72Se dock 2 kap. 1 och 1 a §§ utlänningslagen (2005:716) samt 2 kap. 1–3 §§ utlänningsförord- ningen (2006:97).

163

Utredningens överväganden och förslag

SOU 2023:61

ligt kan vissa kategorier av anhöriga, vissa företrädare och arbetsgivare skriftligen försäkra att sökandens uppgifter om identiteten är kor- rekta. Den som lämnar en sådan försäkran måste vara närvarande vid identitetskontrollen och kunna styrka sin egen identitet genom någon av de identitetshandlingar som godtas (3 kap. 5 § nämnda föreskrifter). Om sökanden inte kan styrka sin identitet vare sig genom en iden- titetshandling eller genom någon annans försäkran, får Polismyndig- heten godta att identiteten styrks på något annat tillförlitligt sätt (3 kap. 4 § nämnda föreskrifter). Polismyndigheten ska kontrollera identiteten noggrant (3 kap. 1 § nämnda föreskrifter).

I likhet med vad som gäller för pass och nationella identitetskort ska sökanden av ett identitetskort för folkbokförda i Sverige styrka sin identitet genom att i första hand uppvisa en godtagbar identitets- handling (2 § lagen om identitetskort för folkbokförda i Sverige och 3 § Skatteverkets föreskrifter om identitetskort, SKVFS 2009:14).73 Om sökanden inte har en godtagbar identitetshandling finns det, på samma sätt som i pass- och id-kortsärenden hos Polismyndigheten, ett intygsförfarande (3 och 5 §§ nämnda föreskrifter). Likaså har Skatte- verket möjlighet att göra en sammanvägd bedömning av åberopade handlingar för de fall sökanden inte kan styrka sin identitet och övriga personuppgifter på något av tidigare angivna sätt. Med godtagbar iden- titetshandling avses, enligt 4 § samma föreskrifter, ett giltigt: (i) iden- titetskort utfärdat av Skatteverket, (ii) vanligt svenskt pass, (iii) svenskt nationellt identitetskort, (iv) svenskt körkort, (v) svenskt tjänstekort utfärdat av statlig myndighet, (vi) SIS-märkt företagskort, tjänstekort eller identitetskort, (vii) EU-pass utfärdat från och med den 1 sep- tember 2006, (viii) pass utfärdat av Island, Liechtenstein, Norge eller Schweiz från och med den 1 september 2006, eller (ix) nationellt iden- titetskort för EU-medborgare utfärdat från och med den 2 augusti 2021.

Om sökanden har uppehållstillstånd i Sverige ska han eller hon enligt 3 § lagen om identitetskort för folkbokförda i Sverige anses ha styrkt sin identitet om de uppgifter som lämnas i ansökan om iden- titetskort stämmer överens med vad som har registrerats i fråga om uppehållstillståndet. Identiteten ska dock inte anses styrkt på detta sätt om särskilda skäl talar emot det.

I förarbetena till de nya bestämmelserna i 26 a och 26 b §§ folk- bokföringslagen uttalades bl.a. att den identitetskontroll som sker före folkbokföring är av stor betydelse för att motverka att oriktiga

73Ändringar i grundförfattningen har gjorts genom SKVFS 2019:5 och SKVFS 2021:9.

164

SOU 2023:61

Utredningens överväganden och förslag

uppgifter registreras i folkbokföringsdatabasen. När en person väl har folkbokförts, sprids uppgifterna i samhället. Vidare konstaterades att identitetshandlingar spelar en avgörande roll vid Skatteverkets iden- titetskontroller, eftersom handlingarna innehåller, om de utfärdats på ett säkert sätt, de uppgifter om en person som behövs för att fast- ställa hans eller hennes identitet. Genom lagändringen är en enskild skyldig att på begäran överlämna pass, identitetskort eller motsvarande handling.74 Med motsvarande handling avses framför allt handlingar som används i stället för pass och för vilka det finns särskilda standar- der och krav som innebär att handlingen utgör ett säkert verktyg för identifiering, som t.ex. främlingspass och resedokument.75 Den som har beviljats uppehållstillstånd i Sverige ska på begäran också över- lämna sitt uppehållstillståndskort för kontroll.

Även för beslut om medborgarskap efter ansökan (naturalisation) förutsätts att sökanden har styrkt sin identitet (11 § lagen [2001:82] om svenskt medborgarskap).76

För att identiteten ska anses vara styrkt krävs att det råder klarhet om sökandens namn, ålder och, som huvudregel, medborgarskap. I för- arbetena anfördes bl.a. följande vad gäller identitetskontrollen.77

Utgångspunkten är att sökanden, för att anses ha styrkt sin identitet på ett godtagbart sätt, skall kunna förete ett hemlandspass i original eller en fotoförsedd identitetshandling i original utfärdad av behörig myndighet i hemlandet, allt under förutsättning att äktheten inte kan sättas i fråga. Om sökanden har varit fast bosatt i ett annat land än hemlandet, kan en sådan handling utfärdad i den staten godtas. Som riktmärke gäller att handlingarna skall vara tillförlitliga och utfärdade på ett ur identitets- synpunkt tillfredsställande sätt. Härav följer bl.a. att handlingen inte får vara av alltför enkel beskaffenhet. I princip är kravnivån avseende bevis- ningen densamma oavsett vilket ursprungsland handlingarna härrör från. Emellertid ställs mindre långtgående krav på den rent tekniska utform- ningen av en handling som utfärdats i ett utvecklingsland jämfört med vad som gäller för handlingar som utfärdats i t.ex. Västeuropa.

Även om sökanden inte kan förete handlingar som är tillräckliga för att uppfylla beviskravet, kan identiteten till följd av principen om fri bevis- prövning anses vara styrkt i vissa fall. Det krävs då att det i ärendet, utöver de åberopade handlingarna, föreligger ytterligare omständigheter som ger ett starkt och otvetydigt stöd för den av sökanden uppgivna identiteten.

74Prop. 2021/22:217 s. 37 ff.

75A.a. s. 68.

76Ärenden om medborgaskap handläggs vid två enheter inom Migrationsverket (i Göteborg och Norrköping), se www.migrationsverket.se/Privatpersoner/Bli-svensk-medborgare/Vanliga- fragor-och-svar-om-svenskt-medborgarskap.html (hämtad 23-05-29).

77Prop. 1997/98:178 s. 8.

165

Utredningens överväganden och förslag

SOU 2023:61

En eller flera var för sig otillräckliga handlingar kan sammantagna med övriga omständigheter således anses utgöra tillräcklig bevisning. Även upp- gifter från nära anhöriga kan åberopas.

Krav på grundidentifiering enligt tidigare genomförda utredningar

Enligt vad som anförts av Utredningen om effektiv styrning av natio- nella digitala tjänster är ett förfarande som leder fram till en identitets- handling en process som innefattar grundidentifiering, förutsatt att det i processen ingår att sökanden ska inställa sig personligen hos ut- färdaren vid ansökan om, såväl som utlämnandet av, identitetshand- lingen, att sökanden ska styrka sin identitet på ett tillförlitligt sätt, och att utfärdaren dokumenterar fysiska kännetecken av sökanden, åtmin- stone ett fotografi (se även avsnitt 3.7).

Utredningen om effektiv styrning av nationella digitala tjänster kon- staterade också att Polismyndigheten och Skatteverket är de myndig- heter som vid den aktuella tidpunkten utfärdade identitetshandlingar i enlighet med angivna principer. Som redovisas i avsnitt 4.7.2 läm- nade utredningen inget förslag om vilken av dessa myndigheter som borde ges i uppdrag att utfärda en statlig e-legitimation med hän- visning till uppdraget för 2017 års ID-kortsutredning, vars arbete på- gick parallellt. Däremot föreslogs att den statliga elektroniska identi- tetshandlingen borde dela grundidentifieringsprocess med en fysisk identitetshandling och författningsförslagen utarbetades med förlaga från liknande bestämmelser avseende sådana identitetshandlingar.78

Också 2017 års ID-kortsutredning föreslog att ansökningsför- farandet för en statlig e-legitimation skulle följa processen för ansökan om ett fysiskt statligt identitetskort, och att Polismyndigheten skulle utses som utfärdare av även e-legitimationen (se mer om detta i av- snitt 4.7.3). I motsats till förslaget som lämnades av Utredningen om effektiv styrning av nationella digitala tjänster föreslog 2017 års ID- kortsutredning inte något absolut krav på personlig inställelse vid an- sökan och anförde att identifiering borde kunna ske också genom om- bud och med ett intygsförfarande.79

Utredningen ansåg nämligen att det svenska tillitsramverkets krav på identitetskontroll vid personligt besök, på likvärdigt sätt som vid utgivning av en fysisk identitetshandling, borde tolkas mot bakgrund

78reboot – omstart för den digitala förvaltningen (SOU 2017:114) s. 173 ff..

79Ett säkert och statligt ID-kort – med e-legitimation (SOU 2019:14) s. 326 ff. och s. 340 ff.

166

SOU 2023:61

Utredningens överväganden och förslag

av vad som anges i avsnitt 2.1.2 i bilagan till genomförandeförord- ningen (EU) 2015/1502. Enligt det hänvisade avsnittet är ett möjligt sätt att uppfylla kraven på tillitsnivå hög att tillämpa samma förfar- anden som används på nationell nivå i medlemsstaten av den enhet som ansvarar för registreringen för att erhålla ett erkänt fotografiskt eller biometriskt identifieringsbevis. Eftersom ansökan om den statliga e-legitimationen föreslogs ske just enligt samma förfarande som vid utfärdande av en fullgod, fysisk identitetshandling, ansågs en ansökan även genom bud vara förenlig med eIDAS-förordningen.80

Omfattningen av identitetskontrollen för en statlig e-legitimation

De redovisade utredningarnas förslag om ansökningsprocess bygger alltså på att den statliga e-legitimationen har det nationella identitets- kortet som fysisk bärare och att utfärdandet sker med stöd av samma identifieringsprocess. Som framgår av avsnitt 7.6.1 gör även vi bedöm- ningen att det är en lämplig ordning.

Enligt vad som framgår av avsnitt 7.6.3 föreslår vi dock, utifrån för- utsättningarna för vårt uppdrag, ett uppdelat myndighetsansvar, och att det är Digg som ska utfärda den statliga e-legitimationen. I av- snitt 7.6.2 föreslås att den myndighet regeringen bestämmer ska ges i uppdrag att kontrollera att sökanden kan styrka sin identitet (iden- titetskontrollerande myndighet). Den statliga e-legitimationen kom- mer som framgått, i vart fall inte inledningsvis, att utfärdas på någon befintlig statlig fysisk identitetshandling (se avsnitt 7.2.2).

Det blir därmed inte aktuellt med en gemensam identifieringspro- cess för statliga fysiska och elektroniska identitetshandlingar. Att vår uppdragsbeskrivning inte gör det möjligt att lämna ett sådant förslag medför, enligt vår bedömning, att det är oförenligt med kraven enligt eIDAS-regelverket att tillåta att ansökan om den föreslagna e-legi- timationen görs genom ombud. Personlig inställelse är därmed en för- utsättning för att ansöka om den statliga e-legitimationen.

I likhet med de tidigare utredningarnas och Diggs förslag bör det krävas att sökanden på ett tillförlitligt sätt styrker sin identitet för att den statliga e-legitimationen ska kunna utfärdas.

Av samma skäl som anfördes av regeringen i bl.a. lagstiftnings- ärendet för stärkt system för samordningsnummer, och på samma sätt

80A.a. s. 342.

167

Utredningens överväganden och förslag

SOU 2023:61

som föreskrivs i den nya regleringen av detsamma, bör det vara en skyldighet för en sökande av statlig e-legitimation som inställer sig personligen för identitetskontroll att på begäran överlämna pass, iden- titetskort eller annan motsvarande handling eller uppehållstillstånds- kort för kontroll.

Vad gäller pass och identitetskort är det handlingar som i regel är försedda med fotografi av innehavarens ansikte och kan ha ett lag- ringsmedium (chip) där ansiktsbild eller fingeravtryck finns lagrade.81 Den identitetskontrollerande myndigheten ska ha möjlighet att kon- trollera de biometriska uppgifter som kan hämtas ur ansiktsbilden eller fingeravtrycken som finns lagrade i den uppvisade identitetshandlingen och jämföra dessa med de biometriska uppgifter som kan hämtas från bilden och fingeravtrycken som vi föreslår ska tas av sökanden. Genom en sådan kontroll kan det säkerställas att den handling som visas upp är äkta och att den är utställd på den person som överlämnar den.

Om ett lagringsmedium med sådana uppgifter är förstört bör det, enligt vår uppfattning, också vara tillåtet att göra maskinella jämförelser av fotografiet på uppvisad identitetshandling. Detsamma bör gälla i de fall sökandens identitetshandling saknar ett lagringsmedium och en- bart är försedd med ett fotografi. Enligt vad utredningen erfarit är en sådan maskinell jämförelse något som är tekniskt genomförbart. Vad gäller fingeravtryck kan tilläggas att dessa vanligtvis är krypterade på ett sådant sätt att de endast kan kontrolläsas efter avtal med utfär- dande land. Till skillnad från svenska resehandlingar, identitetskort och uppehållstillståndskort krävs därmed bilaterala avtal med varje enskilt land. Polismyndigheten, men inte Skatteverket, har ingått så- dana avtal.

Den enskilde bör således vara skyldig att på begäran låta myndig- heten som utför identitetskontrollen ta fingeravtryck och en ansikts- bild i digitalt format för att myndigheten ska kunna kontrollera att dessa stämmer överens med ansiktsbild eller fingeravtryck som, i före- kommande fall, finns på eller lagrade i den uppvisade handlingen. Syftet med denna kontroll är alltså att säkerställa handlingens äkthet och inne- havarens identitet.82

I tidigare nämnda lagstiftningsärende för stärkt system för sam- ordningsnummer anfördes vidare att det kan finnas anledning att göra vissa undantag från skyldigheten att låta sig fotograferas och lämna

81Se t.ex. prop. 2021/22:276 s. 65.

82Prop. 2021/22:276 s. 64 f.

168

SOU 2023:61

Utredningens överväganden och förslag

fingeravtryck. Det kan t.ex. handla om att barn under en viss ålder och personer som har vissa fysiska hinder inte behöver lämna finger- avtryck.83

Sådana undantag bör, i likhet med vad som gäller enligt t.ex. den nya lagen om samordningsnummer, regleras i förordning, med stöd av ett föreskriftsbemyndigande. Beträffande undantag från att lämna fingeravtryck på grund av fysiska hinder och ålder bör regleringen av den statliga e-legitimationen utformas på motsvarande sätt som de för pass och nationella identitetskort. Enligt 2 § passförordningen, som är meddelad med stöd av föreskriftsbemyndigandet i 6 § tredje stycket passlagen, görs undantag för barn under sex år. Detsamma gäller enligt 3 § tredje stycket förordningen om nationellt identitetskort. Eftersom

viföreslår att den statliga e-legitimationen ska tillhandahållas perso- ner från och med det kalenderår de fyller nio år, kan dock en undantags- bestämmelse i förordningsform inte gälla för barn under den åldern.

Även övriga bestämmelser som närmare anger på vilket sätt identi- teten ska styrkas bör regleras i förordning eller myndighetsföreskrifter, som lämpligen utformas med befintliga regler om identitetskontroll som förebild (se mer om författningsreglering och normgivningsnivåer även i avsnitt 7.1). Vid utformningen av dessa bestämmelser måste kraven i eIDAS-förordningen beaktas.84

Som framgått innebär vårt förslag att en statlig e-legitimation ska kunna utfärdas till den som antingen har svenskt personnummer eller har tilldelats samordningsnummer för personer med styrkt identitet (se avsnitt 7.4.2). Ett påtalat problem vad gäller den sistnämnda identitets- beteckningen är att det i dagsläget saknas möjlighet för personer med tilldelat samordningsnummer att ansöka och få Skatteverkets identi- tetskort för folkbokförda i Sverige. För utländska medborgare är det inte heller möjligt att tillhandahållas nationellt identitetskort. Det har, bl.a. av Svenska Bankföreningen, anförts att utan en fysisk identitets- handling som kopplar samman individen med det tilldelade samord- ningsnumret finns det inget som styrker att just den personen har rätt att använda det ifrågavarande samordningsnumret. Svenska Bank- föreningen har hemställt om en ändring i lagen om identitetskort för folkbokförda i syfte att möjliggöra att även personer som tilldelats sam-

83A.a. s. 66 f.

84Som konstaterats i andra sammanhang ställs högre krav på nivå 4 enligt det svenska tillitsram- verket än nivå hög enligt eIDAS-förordningen och genomförandeförordningen (EU) 2015/ 1502, (t.ex.) vad gäller krav på personlig inställelse vid styrkande och kontroll av identitet. se bl.a. Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62) s. 173 f.

169

Utredningens överväganden och förslag

SOU 2023:61

ordningsnummer med styrkt identitet ska kunna få ett sådant identi- tetskort.85

Vi delar uppfattningen att det finns ett behov av att överväga en sådan möjlighet, men det ligger utanför vårt uppdrag. Med anledning av det anförda kan dock tilläggas att det i folkbokföringsdatabasen får behandlas uppgift om på vilken nivå samordningsnumret har till- delats beroende på vilken identitetskontroll som föregått tilldelningen eller senaste förnyelsen av numret. Detsamma gäller för uppgift om vilandeförklaring. Detta framgår av 2 kap. 3 § första och tredje styckena lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Myndigheter som hämtar information via Navet kan därmed få de uppgifter om personens identitet som kopplas till numret, inbegripet vilka handlingar som individen har uppvisat vid identitetskontrollen.86 Skatteverket har möjlighet att medge sådan direktåtkomst till sistnämnda uppgifter om handlingar och grunden för tilldelningsbeslut, för det fall en annan myndighet behöver upp- gifterna för att fullgöra sitt uppdrag och får behandla dem (2 kap. 8 § nyss nämnda lag).

För samordningsnummer som vilandeförklarats aviseras visserligen inte identitetsnivån. Som framgått innebär dock vårt förslag inte bara att det ska vara fråga om samordningsnummer som tilldelas personer med styrkt identitet; det krävs därutöver att ett sådant nummer inte får ha förklarats vilande (se avsnitt 7.4.2). Härigenom kan det säker- ställas att den identitetskontrollerande myndigheten får information från folkbokföringsdatabasen om vilken bedömning av identiteten som föregått tilldelningen eller senaste förnyelsen av numret samt vilka handlingar som ligger till grund för detta. Myndigheten kan därmed avgöra om den i sin verksamhet behöver vidta ytterligare åtgärder för att kontrollera de uppgifter som angetts. Aktörer får således ett bättre underlag för beslut och åtgärder.

En grundidentifiering som inkluderar personlig inställelse för att ta ansiktsbild, fingeravtryck och göra vederbörliga datorstödda jäm- förelser med motsvarigheter på sökandens identitetshandling är en av- görande faktor för att skapa förutsättningar för en säker och tillförlitlig

85Svenska Bankföreningens framställan 2023-06-19 till Justitiedepartementet och Finansdeparte- mentet (föreningens diarienr 2023-06-006).

86Navet utgör ett delsystem i folkbokföringsdatabasen och får i första hand användas för aktua- lisering, komplettering och kontroll av personuppgifter. Större delen av utlämnandet av uppgifter sker genom utskick (avisering) efter beställningar från statliga myndigheter, kommuner och regioner, se t.ex. prop. 2021/22:276 s. 87.

170

SOU 2023:61

Utredningens överväganden och förslag

statlig e-legitimation. Personlig inställelse för sökanden möjliggör dess- utom att en utgivningsprocess genom vilken ansökan, utlämnande och, i förekommande fall även, aktivering av e-legitimationen kan ske vid ett och samma tillfälle, oaktat den föreslagna ansvarsuppdelning myn- digheterna emellan (se avsnitt 7.6).

Att bäraren för e-legitimationen föreslås innehålla ett lagrings- medium för ansiktsbild och fingeravtryck som tagits (se avsnitt 7.2.6) innebär en dokumentation av fysiska kännetecken hos sökanden. Det föreslagna förfarandet som, förutsatt att ansökan bifalls, leder fram till en identitetshandling utgör således en process som innefattar grund- identifiering i enlighet med de ovan redovisade principer som förordats av Utredningen om effektiv styrning av nationella tjänster.

7.6Ansvar för grundidentifiering och utfärdande

7.6.1En sammanhållen grundidentifiering för fysiska och elektroniska identitetshandlingar

Utredningens bedömning: En myndighet bör ha det huvudsakliga ansvaret för grundidentifiering som sker inför utfärdande av såväl en statlig e-legitimation som statliga fysiska identitetshandlingar.

Skälen för utredningens bedömning

Grundidentifiering, som behandlas i avsnitt 7.5, är en avgörande faktor för att skapa förutsättningar för en säker och tillförlitlig statlig e-legi- timation.87

Utifrån ramarna för vårt uppdrag föreslår vi att den statliga e-legiti- mationen ska finnas på ett kontaktlöst kort. Samtidigt gör vi bedöm- ningen att e-legitimationen så snart som möjligt ska finnas även på ett statligt utfärdat identitetskort. Att separera den grundidentifiering som sker vid utfärdande av fysiska statliga legitimationshandlingar från den som genomförs innan en e-legitimation utfärdas framstår – särskilt vid en sådan sammanhållen hantering – av såväl praktiska som säkerhets- mässiga skäl, inte lämpligt.

87Se även avsnitt 6.7.8 för vidare resonemang kring betydelsen för att motverka identitetsrelaterad brottslighet.

171

Utredningens överväganden och förslag

SOU 2023:61

2017 års ID-kortsutredning föreslog en begränsning av dels antalet fysiska identitetshandlingar, dels antalet utfärdare av identitetshand- lingar. Enligt utredningen medförde de skilda utfärdandeprocesserna, liksom att olika krav ställdes på ansökan, bakgrundskontroll av sökan- den, tillverkning och utlämnande att de identitetshandlingar som fanns var av skiftande kvalitet och såg olika ut. Enligt utredningens bedöm- ning försvårade detta för den som skulle kontrollera handlingarnas giltighet och äkthet vilket i sin tur utgjorde en risk för ökad identitets- relaterad brottslighet.88

Vi instämmer i den bedömningen och anser att motsvarande om- ständigheter gör sig gällande i fråga om vikten av att en och samma myndighet ansvarar för att utföra grundidentifieringen inför utfärdande av de fysiska identitetshandlingar som tillhandahålls av staten såväl som en statlig e-legitimation. En sådan ordning kan bidra till att skapa en- hetliga rutiner, effektiv hantering och tydlighet för befolkningen. En- ligt vår uppfattning skulle det också bidra till att tydliggöra att en e-legitimation är en värdehandling att jämställa med fysiska identitets- handlingar.

Vikten av en sammanhållen hantering av grundidentifieringen har påpekats av i princip samtliga de organisationer, myndigheter och leve- rantörer som utredningen har talat med. Därutöver har såväl Skatte- verket som Försäkringskassan, genom sina i utredningen medverkande experter, i särskilda yttranden framhållit behovet av ett samlat grepp för hela identitetskedjan.89

7.6.2Få myndigheter bedöms ha de förutsättningar som krävs

Utredningens förslag: Den myndighet regeringen bestämmer ska utföra grundidentifiering i samband med utfärdande av en statlig e-legitimation.

Den grundidentifiering som ska ske inför utfärdande av en stat- lig e-legitimation för svenska medborgare utomlands ska utföras av de myndigheter som för dessa medborgare utfärdar pass eller nationellt identitetskort.

88Ett säkert statligt ID-kort – med e-legitimation, (SOU 2019:14), s. 200 ff.

89Yttrandena finns tillfogade detta betänkande.

172

SOU 2023:61

Utredningens överväganden och förslag

Utredningens bedömning: De myndigheter som kan komma i fråga för att genomföra grundidentifieringen på ett tillräckligt säkert, effektivt och tillgängligt sätt är Polismyndigheten och Skatteverket. Vi bedömer att Polismyndigheten är den myndighet av dessa två som är bäst lämpad att utföra uppdraget.

Utlandsmyndigheterna har erforderliga förutsättningar att han- tera grundidentifiering för en statlig e-legitimation.

Skälen för utredningens förslag och bedömning

Den myndighet som ska genomföra grundidentifieringen behöver ha en gedigen organisation, erforderlig kunskap inom området, resurser och en utbredd närvaro i samhället. Därmed kan endast ett fåtal myn- digheter komma i fråga för uppdraget och enligt vår bedömning är det Polismyndigheten eller Skatteverket.

2017 års ID-kortsutredning gjorde sina överväganden i fråga om grundidentifiering i samband med förslagen om vilken myndighet som skulle ansvara för utfärdande av såväl fysiska id-handlingar som en statlig e-legitimation. Det skiljer sig från vårt uppdrag eftersom det framgår av våra direktiv att Digg ska utfärda den statliga e-legitima- tionen. Det är emellertid vår uppfattning att grundidentifieringen och utfärdandet har sådana beröringspunkter att de skäl 2017 års ID-kort- utredning anförde i fråga om lämplig utfärdande myndighet är relevanta även för vår bedömning av vilken myndighet som är lämplig att utföra grundidentifieringen.

Enligt vår bedömning ska personer med svenskt personnummer bosatta utomlands kunna ansöka om en statlig e-legitimation. Pass och id-kort utfärdas av de utlandsmyndigheter som även är passmyndig- heter. 2017 års ID-kortsutredning gjorde bedömningen att någon för- ändring såvitt avsåg hanteringen av pass och id-kort vid dessa myn- digheter inte var påkallad.90 Vi ansluter oss till den bedömningen och anser att uppgiften att utföra grundidentifieringen inför utfärdande av en statlig e-legitimation för svenska medborgare utomlands bör ut- föras av motsvarande myndigheter.

90Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 212.

173

Utredningens överväganden och förslag

SOU 2023:61

2017 års ID-kortsutredning föreslog Polismyndigheten

2017 års ID-kortsutredning föreslog att Polismyndigheten skulle ut- färda de statliga fysiska identitetshandlingarna och den statliga e-legi- timationen. Utredningen konstaterade vid en jämförelse mellan Polis- myndigheten och Skatteverket att Skatteverkets erfarenhet av att utfärda identitetshandlingar inte var i närheten av den som fanns vid Polis- myndigheten. Vidare påpekade utredningen att de identitetsjämförel- ser som Skatteverket gör i folkbokföringsverksamheten är av delvis annat slag och har ett annat syfte än den identitetsbedömning som görs i samband med utfärdande av en identitetshandling. Enligt utred- ningen var det av stor vikt att beakta möjligheten att bekämpa den ökade bedrägeribrottsligheten där missbruk av identiteter och iden- titetshandlingar spelar en stor roll. Utredningen anförde följande som skäl för att Polismyndigheten skulle ges uppdraget.91

En viktig omständighet som tillkommit sedan Id-kortsutredningen läm- nade sitt förslag, vilket också är anledningen till vårt uppdrag, är den ökade bedrägeribrottsligheten där missbruk av identiteter och identitetshand- lingar spelar en stor roll. Polismyndigheten har det huvudsakliga ansvaret för arbetet med att motverka bedrägeribrottsligheten. Sambandet mellan identitetshandlingar och bedrägeribrottslighet talar enligt vår mening starkt för att Polismyndigheten bör tilldelas ansvaret för att utfärda de statliga fysiska identitetshandlingarna. Polismyndighetens erfarenheter från det brottsbekämpande arbetet, där falska eller felaktiga identitetshandlingar används i bedrägligt syfte, är värdefull för att utveckla och säkra utfärdande- processen. Kunskapen om och erfarenheterna från utfärdandeverksam- heten kan även gagna brottsbekämpningen. Att ge Polismyndigheten an- svaret för utfärdandet kan således förväntas leda till samordningsvinster för båda delarna av verksamheten. En sådan ordning har därför goda för- utsättningar att verka i brottsförebyggande riktning.

En annan fördel med att lägga ansvaret hos Polismyndigheten är att myndigheten redan har lanserat en e-tjänst för kontroll av giltigheten när det gäller de identitetshandlingar som utfärdas av myndigheten. E-tjänsten […] kan användas av exempelvis banker eller andra som gör identitets- kontroll för att på ett enkelt sätt kontrollera giltigheten av svenska pass och nationella identitetskort. Tjänsten har inneburit att kontrollen av identitetshandlingarnas giltighet har förenklats och effektiviserats avsevärt. Det är av stor vikt att det finns ett effektivt sätt att kontrollera en iden- titetshandlings giltighet. En enkel kontroll mot utfärdaren minskar risken för missbruk av identitetshandlingar samtidigt som den medför stora effektivitetsvinster. Det finns alltså redan en väl fungerande e-tjänst för kontroll hos Polismyndigheten vilket inte finns hos Skatteverket. E-tjäns- ten bör kunna användas även för kontroll av id-kort som inte kan användas

91Aa. s. 208 ff.

174

SOU 2023:61

Utredningens överväganden och förslag

för resa. Om Polismyndigheten blir enda utfärdare möjliggörs dessutom en vidareutveckling av kontrollen så att den på sikt skulle kunna bli helt automatiserad. Exempelvis skulle det vid en avläsning av uppgifter på kortet kunna skickas en automatisk förfrågan till e-tjänsten varvid svar erhålls utan att den som utför kontrollen själv behöver slå in några uppgifter. En sådan lösning försvåras av att det i dag finns flera utfärdare.

Ansökan om de id-kort som utfärdas av Skatteverket kan göras på 27 platser. Därutöver finns det ytterligare 18 kontor där det är möjligt att hämta ut färdiga id-kort. Servicekontorsutredningen har […] före- slagit att dessa ska vara kvar i avvaktan på att vi redovisar våra förslag. Pass och nationellt identitetskort utfärdas av Polismyndigheten på omkring 110 platser. Därutöver finns det ytterligare cirka 40 utlämningsställen. Till- gängligheten för allmänheten är alltså väsentligt bättre hos Polismyndig- heten än hos Skatteverket.

Vi föreslår […] att både ansiktsbild och fingeravtryck ska sparas på ett lagringsmedium i de statliga identitetskorten precis som gäller för pass i dag. Hantering av sådana uppgifter är särskilt känslig och kräver särskild säkerhet i processen. Polismyndigheten hanterar redan i dag ansiktsbild och fingeravtryck som sparas i ett lagringsmedium i passen samt ansiktsbild som sparas i de nationella identitetskortens lagringsmedium. Myndigheten har dessutom stor vana vid att hantera sådana uppgifter i den polisiära verksamheten. Polismyndigheten har alltså redan den erfarenhet och kunskap som krävs medan Skatteverket inte har samma vana vid att hantera sådana uppgifter.

Ett annat argument som talar för Polismyndigheten som utfärdare är att myndigheten har goda förutsättningar för att bedriva det informations- arbete som vi ser behov av. En av förklaringarna till de brister som i vissa fall finns i kontrollen av en persons identitet är okunskap om vad man ska titta på och varför. Det är därför av stor vikt att öka kunskapen om hur kontroller ska utföras och förståelsen för varför kontroller behöver göras hos den personal som utför identitetskontroller i olika verksamheter. Inom Polismyndigheten finns en stor kunskap om såväl de bedrägerier som utförs med användning av identitetshandlingar som utfärdandepro- cessen. Det är värdefullt för verksamheter som ägnar sig åt identitetskon- troller att få del av den kunskapen. Genom att öka kunskapen om hur be- drägerier går till kan risken för att bedrägerier genomförs minskas.

Sammantaget finns det alltså enligt vår uppfattning mycket starka skäl som talar för att Polismyndigheten ska utfärda de statliga fysiska identitets- handlingarna.

Som skäl emot att Polismyndigheten skulle ges uppdraget anfördes i stället följande.92

Som skäl emot denna ordning kan anföras att Polismyndighetens verk- samhet bör renodlas i syfte att frigöra resurser för att förstärka kärn- verksamheten, dvs. att upprätthålla allmän ordning och säkerhet. Detta

92A.a. s. 210 ff.

175

Utredningens överväganden och förslag

SOU 2023:61

angavs som skäl för beslutet att Skatteverket skulle utfärda identitetskort för folkbokförda i Sverige, trots att Id-kortsutredningen på goda grunder föreslog att ansvaret skulle läggas på Polismyndigheten. Frågan om ren- odling av polisens verksamhet har genom åren varit föremål för olika utredningar. Polisverksamhetsutredningen gjorde år 2001 den bedöm- ningen att passhanteringen varken krävde polismans befogenheter eller kunskap eller kunde motiveras av polisens uppgift att upprätthålla all- män ordning och säkerhet och att passhanteringen därmed till stor del saknade polisiär relevans. Utredningen kom trots det fram till att polisen fortfarande borde vara passmyndighet. Det huvudsakliga skälet var att ett överförande av passärendena till någon annan myndighet skulle innebära så stora konsekvenser för framför allt poliskontoren i glesbebyggda om- råden, som skulle kunna tvingas lägga ner, att det skulle få orimliga kon- sekvenser ur servicesynpunkt.

Det skäl som gjorde att Polisverksamhetsutredningen inte föreslog att passverksamheten skulle föras över till en annan myndighet är allt- jämt gällande. Det finns orter där det skulle vara svårt att upprätthålla en receptionsverksamhet om Polismyndigheten inte längre skulle bedriva pass- och id-kortsverksamhet eftersom övrig receptionsverksamhet inte har så stor omfattning. Om verksamheten flyttas från Polismyndigheten finns det därför en risk att ett antal poliskontor skulle behöva stänga. Även om inte avgiftsintäkterna från pass- och id-kortsverksamheten finansierar annan receptionsverksamhet så motiverar verksamheten att det även finns en mottagning för andra ärenden, exempelvis tillståndsärenden. Många medborgare har dessutom bara kontakt med Polismyndigheten i samband med ansökan om pass eller id-kort. Verksamheten blir då en viktig del för att skapa förtroende för myndigheten. Ett bra bemötande och service- mottagande i ett passärende kan öka förtroendet för Polismyndigheten vilket kan bli avgörande för om medborgaren i ett annat sammanhang väl- jer att göra en anmälan, ställa upp som vittne eller liknande.

Argumentet att en överflyttning av pass- och id-kortshanteringen till Skatteverket skulle medföra en renodling av Polismyndighetens verk- samhet och medföra att resurser frigörs till Polismyndighetens övriga verksamhet är inte helt adekvat. Rimligen skulle, som också Polisverk- samhetsutredningen konstaterade, resurser som motsvarar pass- och id- kortshanteringen behöva föras över från Polismyndigheten till Skatte- verket. Verksamheten är dessutom avgiftsfinansierad. Om verksamheten skulle flytta från Polismyndigheten flyttas även avgiftsintäkterna. Det är således svårt att se att det brottsbekämpande arbetet skulle komma att gynnas av att pass- och id-kortsverksamheten flyttas bort från Polis- myndigheten. Tvärtom gör vi, som ovan framgått, snarare bedömningen att det brottsförebyggande arbetet gynnas av att myndigheten har denna verksamhet.

Det kan visserligen hävdas att utfärdande av identitetshandlingar inte tillhör Polismyndighetens kärnverksamhet, men det kan å andra sidan inte heller sägas vara främmande för den verksamheten. Vi menar i stället att den rådande samhällsutvecklingen med en kraftig ökning av bedrä- geribrottsligheten och där brott många gånger begås med hjälp av för-

176

SOU 2023:61

Utredningens överväganden och förslag

falskade eller felaktiga identitetshandlingar gör att det numera finns starka skäl att verksamheten avseende utfärdande av identitetshandlingar är sam- ordnad med Polismyndighetens brottsbekämpande verksamhet. Polis- myndigheten bör genom en sådan ordning få ökade förutsättningar att förebygga bedrägeribrott. Uppgiften att utfärda pass och id-kort kan därför i dag, på ett annat sätt än då Polisverksamhetsutredningen tog ställ- ning i frågan, motiveras av Polismyndighetens kärnuppgift att upprätt- hålla allmän ordning och säkerhet.

Det finns således enligt vår uppfattning starka skäl för att Polismyndig- heten ska ansvara för utfärdande av de statliga fysiska identitetshand- lingarna. Vi har funnit få skäl som talar emot en sådan ordning.

Har något förändrats sedan 2017 års ID-kortsutredning gjorde sin bedömning?

Som redovisats i avsnitt 6.7 är den identitetsrelaterade brottsligheten, även om ökningen av sådana brott kopplade till förfalskade fysiska id-handlingar har avstannat något, fortsatt ett omfattande samhälls- problem. Det är alltjämt Polismyndigheten som har det huvudsakliga ansvaret för att motverka den typen av brottslighet vilket – precis som 2017 års ID-kortsutredning konstaterade – med styrka talar för att Polismyndigheten bör ansvara för grundidentifieringen. I princip samtliga företrädare för de organisationer och myndigheter som utred- ningen talat med har också framfört att Polismyndigheten är bäst lämpad för uppdraget. Flera har påtalat att en inställelse hos Polis- myndigheten i sig har en brottsavhållande funktion eftersom det är mindre sannolikt att någon presenterar en förfalskad id-handling för en polistjänsteman än för en handläggare på Skatteverket. I det sam- manhanget har också framförts att Skatteverket saknar rätt att om- händerta misstänkt falska identitetshandlingar om sådana presenteras för myndigheten inom ramen för ett ansökningsärende. En konsekvens därav är att Skatteverket i de fallen nekar sökanden begärd åtgärd och sedan återlämnar den förfalskade id-handlingen. Enligt Ekobrotts- myndigheten är detta särskilt ett problem när det gäller bedragare som utnyttjar migranter från andra EU-länder (tillvägagångssättet beskrivs i avsnitt 6.7).

Vi har inte närmare utrett om åtgärden att omhänderta misstänkt för- falskade identitetshandlingar bör omfattas av regelverket kring Skatte- verkets brottsbekämpande verksamhet eller inte. Hur saken hanteras

idag indikerar oavsett att myndigheten för närvarande inte har tillräck- liga förutsättningar för att motverka identitetsrelaterad brottslighet.

177

Utredningens överväganden och förslag

SOU 2023:61

Om Skatteverket skulle ges uppgiften att utföra grundidentifieringen bör ett regelverk som ger handläggare rätt att omhänderta falska id- handlingar utredas vidare.

Vår bedömning är att de skäl som 2017 års ID-kortsutredning anförde i fråga om förutsättningar att motverka bedrägeribrottsligheten gör sig fortsatt gällande. Även vi har alltså uppfattningen att ett mycket tungt vägande skäl för att Polismyndigheten ska ges uppdraget är vikten av att motverka bedrägeribrottsligheten. Till det redan anförda kan även läggas att Polismyndigheten, till skillnad från Skatteverket, har tillgång till internationella register som används i brottsbekämpande syften. Polismyndigheter har dessutom träffat sådana bilaterala avtal med andra länder som är en förutsättning för att avläsa krypterad bio- metrisk information som finns lagrade i dessa länders rese- och iden- titetshandlingar.

För närvarande kan ansökan om id-kort som utfärdas av Skatte- verket göras på 34 olika servicekontor och på begäran kan uthämtning därutöver ske på vissa servicekontor som inte utfärdar id-kort.93 Enligt uppgift från Skatteverket utfärdade myndigheten 196 711 id- kort 2022.94

Pass och nationellt identitetskort utfärdas av Polismyndigheten på omkring 110 platser och därutöver finns det ytterligare utlämnings- ställen. Enligt uppgift från Polismyndigheten gjordes 3 667 960 ansök- ningar om pass och nationella id kort 2022.95 Företrädare för Polis- myndigheten har till utredningen uppgett att nivån fortsatt är hög och att omkring två miljoner pass utfärdats under första halvåret 2023.

Utifrån angiven statistik kan vi alltså konstatera att beträffande verksamhet med rese- och identitetshandlingar har Polismyndigheten fortfarande en påtagligt större närvaro i samhället än Skatteverket. Vidare har Polismyndighetens överlägset större rutin vad gäller att genomföra identitetskontroller, vilket är av avgörande betydelse även om myndigheten för närvarande inte deltar i någon verksamhet med att utfärda e-legitimationer.

Sedan 2017 års ID-kortsutredning lämnade sina förslag har en ny lag om samordningsnummer trätt i kraft (se avsnitten 3.3 och 7.4.2). De nya bestämmelserna medför bl.a. att Skatteverket ska genomföra grundligare identitetskontroller efter personlig inställelse. Som en följd

93www.skatteverket.se/omoss/kontaktaoss/besokservicekontor.4.515a6be615c637b9aa4acd5

.html?filter=idcards, (hämtad 2023-09-20).

94Skatteverket, Årsredovisning 2022, (dnr 8-2211089), s. 85.

95Polismyndigheten, Årsredovisning 2022, (dnr A084.384/2022) s. 94.

178

SOU 2023:61

Utredningens överväganden och förslag

därav kommer Skatteverket enligt vad som framgår av förarbetena till den nya lagen att behöva inrätta vissa nya rutiner och anpassa it- system, men såvitt framgår kommer inga ytterligare platser för ansök- ningar inrättas.96 Således kommer de nya reglerna om samordnings- nummer att innebära en delvis ny it-infrastruktur för Skatteverkets hantering men inte öka tillgängligheten för befolkningen i stort. Till- gängligheten för allmänheten kommer alltså fortfarande att vara väsent- ligt bättre hos Polismyndigheten än hos Skatteverket.

Polismyndighetens inställning till uppgiften att ansvara för grund- identifieringen tycks alltjämt vara densamma som vid tiden för 2017 års ID-kortsutredning. I en promemoria som upprättades i december 2022 med anledning av Diggs rapport anförde Polismyndigheten bl.a. följande97:

Inom Polismyndigheten pågår ett arbete med att renodla polisens upp- drag. Syftet med att renodla myndighetens arbete är att ge polisen möjlighet att fokusera på sin kärnverksamhet. Detta för att polisen i ökad utsträck- ning ska kunna koncentrera sig på sin centrala funktion, dvs. att minska brottsligheten och öka tryggheten. Med anledning av det pågående arbetet är rådande uppfattning därför inledningsvis att nya uppgifter inom detta område inte bör påföras myndigheten. Detta eftersom uppgifterna inte har polisiär relevans eller direkt kräver polisiär befogenhet, utan kan på- föras annan huvudman.

Vi anser emellertid – av samma skäl som anfördes av 2017 års ID-korts- utredning – att det inte nödvändigtvis finns ett motsatsförhållande mellan Polismyndighetens arbete med att renodla sin verksamhet och att myndigheten utför grundidentifieringen för den statliga e-legiti- mationen, inte minst när det gäller det brottsförebyggande arbetet. Vi har i avsnitt 6.7 redovisat den identitetsrelaterade brottslighetens utbredning i samhället och kopplingarna som finns till grov organi- serad brottslighet. Självklart kommer denna inte stävjas endast genom att Polismyndigheten sköter grundidentifieringen inför utlämnande av e-legitimationer, men vi ser att det är ett led i att motverka den. Precis som 2017 års ID-kortsutredning anser också vi att uppgiften att utfärda pass och id-kort fortsatt motiveras av Polismyndighetens kärnuppgift att upprätthålla allmän ordning och säkerhet. Därmed motiveras även utförande av grundidentifiering vid utfärdande av stat- liga e-legitimationer av Polismyndighetens kärnuppgift.

96Prop. 2021/22:276 s. 131 ff.

97Polismyndigheten, Regeringsuppdraget om en statlig e-legitimation (dnr A356.966/2022), december 2022, s. 1.

179

Utredningens överväganden och förslag

SOU 2023:61

7.6.3Myndigheten för digital förvaltning ska ansvara för att utfärda den statliga e-legitimationen

Utredningens förslag: Den myndighet regeringen bestämmer ska tillhandahålla den statliga e-legitimationen.

Utredningens bedömning: Den statliga e-legitimationen ska till- handahållas av Myndigheten för digital förvaltning.

Skälen för utredningens förslag och bedömning

I våra direktiv utpekas Digg som ansvarig myndighet för att utforma och tillhandahålla den statliga e-legitimationen. En omständighet som enligt direktiven talar för den ordningen är att myndigheten ansvarar för den offentliga förvaltningens tillgång till infrastruktur och tjäns- ter för elektronisk identifiering och underskrift (3 § förordningen [2018:1486] med instruktion för Myndigheten för digital förvaltning). I den svenska infrastrukturen ingår bl.a. Diggs tillitsramverk, teknisk arkitektur och samordnad försörjning av tjänster för elektronisk iden- tifiering. Andra myndigheter kan med hjälp av Digg som ombud ingå kontrakt med de leverantörer som omfattas av infrastrukturen, vilket regleras i lagen om valfrihetssystem i fråga om tjänster för elektronisk identifiering (eLOV).98

Vidare anges i våra direktiv att system för e-legitimationer och digi- tal identifiering kräver särskild kompetens, vilket utgör ett ytterligare skäl till att Digg bör vara den myndighet som får ett uppdrag att ta fram en statlig e-legitimation.

Den särskilda kompetens som åsyftas inom Digg är både en för- utsättning och en följd av de uppgifter och det ansvar som myndig- heten redan har. Enligt eLOV fattar Digg bl.a. beslut om vilka villkor, inte minst säkerhetskrav, som ska uppfyllas för att en e-legitimations-

98Regeringen har föreslagit att valfrihetssystemen ska ersättas av ett auktorisationssystem (prop. 2023/24:6 se även avsnitten 4.6, 7.4.3 och 7.13.). Ombudsmodellen ska ersättas med en modell där Digg i eget namn ingår avtal om valfrihetssystem med leverantörerna. I likhet med nuvarande ordning kommer Digg att bestämma villkoren för auktorisationssystemen, bl.a. vilka säkerhetskrav som ska gälla. I tillägg till det som gäller i dag kommer Digg att ansvara för att bestämmelserna i den nya lagen följs och att de ställda säkerhetskraven upprätthålls (jfr prop. 2012/13:123 s. 51 f.). I övrigt ska ansvarsförhållandena framgå av de avtal som Digg ingår med de offentliga aktörerna och leverantörerna. Enligt förslaget ska den nya lagen träda i kraft den 1 januari 2024.

180

SOU 2023:61

Utredningens överväganden och förslag

utfärdare ska få ingå i valfrihetssystemet, och om godkännande av e-legitimationsutfärdare enligt dessa krav.

Inom ramen för sitt ansvar att främja användningen av elektronisk identifiering förvaltar och utvecklar Digg även tillitsramverket för kva- litetsmärket Svensk e-legitimation (se mer om detta i avsnitt 4.3). En e-legitimation för vilken utfärdaren har ansökt om kvalitetsmärket granskas av Digg enligt kraven i tillitsramverket.99 Digg har dock inte något tillsynsansvar över utfärdare i förhållande till eIDAS-förord- ningen.

Post- och telestyrelsen är tillsynsmyndighet enligt lagen med kom- pletterande bestämmelser till EU:s förordning om elektronisk identifie- ring, men ansvaret är begränsat till betrodda tjänster(se 4 § förordningen [2016:576] med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering). Utfärdare av e-legitimationer kan även ha viss rapporteringsskyldighet enligt lagen (2022:1568) om Sveriges riksbank.100 Delar av sådana utfärdares verksamhet omfattas vidare av säkerhetsskyddslagen.101

Att utfärdare av e-legitimationer står under enbart begränsad tillsyn, vilken är uppdelad på flera statliga myndigheter utifrån deras uppgifter och befogenheter, har identifierats som en inte tillfredsställande ord- ning av bl.a. Finansinspektionen.102 Betalningsutredningen har, i likhet med inspektionen, gjort bedömningen att det bör göras en översyn av tillsynsansvaret för e-legitimationer och betrodda tjänster.103 I vårt andra deluppdrag ingår att bl.a. ta ställning till vilken myndighet som bör utses till tillsynsorgan med ansvar för ett register över förlitande parter enligt förslagen i den reviderade eIDAS-förordningen. Vi får därmed anledning att återkomma till tillsynsfrågan, men det handlar alltså om nödvändiga förändringar beroende på nya krav. Det faller

99Tillitsramverket utgör inte bindande rättsregler. Digg har inte några sanktionsmöjligheter kopplade till ramverket och utfärdares efterlevande av detsamma, Staten och betalningarna (SOU 2023:16) s. 350.

100Riksbanken har genom lagen, som trädde i kraft i januari 2023, fått ett utökat beredskaps- ansvar för betalningar i samhället. Företag som bedriver verksamhet som är av särskild betydelse för genomförandet av betalningar är bl.a. skyldiga att på begäran av Riksbanken lämna de upp- gifter som är nödvändiga för Riksbankens beredskapsverksamhet. Utfärdare av e-legitimation har angetts som exempel på sådana företag, se En ny riksbankslag (SOU 2019:46), s. 1805.

101För sådan verksamhet är Länsstyrelsen i Stockholm säkerhetsskyddsstödjande myndighet och rapporterar säkerhetsskyddsincidenter till Säkerhetspolisen, Staten och betalningarna (SOU 2023:16) s. 351.

102Finansinspektionen, Förstärkt digital motståndskraft hos företag i den finansiella sektorn, maj 2022, s. 28. Vid sidan av ökad tillsyn som inte endast är händelsestyrd, framhöll Finansinspektionen behovet av reglering med tydliga krav på bl.a. säkerhetsnivå, redundans, samt lednings- och ägarprövning.

103Staten och betalningarna (SOU 2023:16) s. 380 ff.

181

Utredningens överväganden och förslag

SOU 2023:61

emellertid, även för vårt kommande deluppdrag, utanför uppdragets ramar att göra en fullständig översyn av hela tillsynsstrukturen.

Både Betalningsutredningen och Finansinspektionen har i anslut- ning till tillsynsfrågan påtalat behovet av att fortsätta arbetet med att ta fram en statlig e-legitimation. Inspektionen har framhållit att en statlig e-legitimation, med hänsyn till den befintliga tillsynsstrukturen, är särskilt viktig om en ökad och samlad tillsyn över de privata aktö- rerna inte är möjlig att åstadkomma. Enligt Finansinspektionens egen bedömning är myndigheten inte ett lämpligt alternativ för ett sådant ansvar, eftersom det saknas ett naturligt samband mellan tillsyn av finansiella företag och e-legitimationer.104

Det finns, enligt vår bedömning, fog för Finansinspektionens och Betalningsutredningens uppfattning beträffande den bristande till- synen på e-legitimationsområdet. Vårt förslag om införandet av en statlig e-legitimation kommer emellertid inte i sig att lösa problemet med att få till stånd en erforderlig tillsyn över utfärdare av e-legiti- mationer, eftersom den statliga utfärdaren också bör bli föremål för tillsyn. En myndighet som enligt vår bedömning i framtiden skulle kunna vara en kandidat att utöva sådan tillsyn är Digg.

Även med en i övrigt oförändrad ordning kommer Digg till följd av sitt nya uppdrag som utfärdare att behöva genomföra granskningar av sin egen verksamhet med den avsedda e-legitimationen. Gransk- ningen kommer att ske mot de krav som myndigheten delvis själv upp- ställer. Således uppstår – redan genom att myndigheten utses till utfärdare av den statliga e-legitimationen – oundvikligen risk för roll- konflikter inom myndigheten. Ett eventuellt uppdrag om att utöva tillsyn skulle ytterligare förstärka rollkonflikten och vi ser det därmed som uteslutet att Digg både skulle kunna tillhandahålla den statliga e-legitimationen och ges ett framtida tillsynsansvar över e-legitima- tionsområdet.

Digg har i sin rapport uppmärksammat att rollkonflikter inom myn- digheten riskerar att uppstå till följd av det tillkommande uppdraget med att utfärda och tillhandahålla en statlig e-legitimation. För att undvika dessa rollkonflikter har Digg bedömt att det i vart fall bör krävas att myndigheten organisatoriskt skiljer på rollen som utfärdare av e-legitimationen från övriga uppgifter inom e-legitimationsområdet i syfte att säkerställa att myndigheten lever upp till de krav som ställs

104Finansinspektionen, Förstärkt digital motståndskraft hos företag i den finansiella sektorn, maj 2022, s. 28.

182

SOU 2023:61

Utredningens överväganden och förslag

på myndighetens verksamhet, framför allt vad gäller objektivitet, lika- behandling och för att undvika en jävsproblematik. Vidare har Digg bedömt att myndigheten ska tydliggöra hur beslutsförfarandet ska se ut när myndigheten agerar i olika roller. Enligt Digg kan en förebild vara hur Försvarets materielverk har organiserats för att upprätthålla det krav på oberoende som följer av EU:s cybersäkerhetsakt.105

Vi bedömer att de rollkonflikter som kan uppstå inte enbart kan hanteras genom organisatoriska åtgärder och att det, som Digg i sin bedömning öppnat för, krävs ytterligare åtgärder.

Som också Digg påtalar är en ytterligare omständighet kopplad till rollkonflikter att myndigheten i sin granskning och revision av andras e-legitimationer, dvs. även kommersiella aktörers, kan ta del av affärshemligheter eller information som är skyddad av immaterial- rätten. Detta kan vara förtroendeskadande.

7.6.4Effekter av ett uppdelat myndighetsansvar för grundidentifiering respektive utfärdande

Utredningens bedömning: Ett uppdelat myndighetsansvar för grundidentifiering respektive utfärdande av den statliga e-legitima- tionen medför vissa effekter som behöver hanteras av de berörda myndigheterna.

Skälen för utredningens bedömning

Det finns skäl att problematisera effekterna av ett uppdelat ansvar

Våra direktiv ger inte utrymme för att lämna förslag om att någon annan myndighet än Digg ska ges i uppdrag att utfärda den statliga e-legitimationen, vilket får till följd att ansvaret för grundidentifiering och utfärdande behöver delas upp på två olika myndigheter.

Under vårt arbete med utredningen har vi likväl identifierat vissa effekter som ett uppdelat ansvar kan medföra. Redogörelsen gör inte anspråk på att vara uttömmande och innebär inte att vi har gjort be- dömningen att ett bättre alternativ hade varit om en myndighet an- svarade för hela verksamheten. Som framgår av kapitel 5 förekom-

105Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 61 ff.

183

Utredningens överväganden och förslag

SOU 2023:61

mer ett uppdelat ansvar vad gäller utfärdande av statliga e-legitimationer i andra länder och det finns givetvis även fördelar med att en expert- myndighet inom digitaliseringsområdet är den utfärdande myndig- heten.

Eftersom det är fråga om effekter som dels kan vara beroende av vilken myndighet som slutligen ges i uppdrag att genomföra grund- identifieringen, dels kräver samråd mellan de berörda myndigheterna kan utredningen inte lämna några närmare förslag på hur effekterna ska lösas. De redovisade effekterna kan i stället hanteras av de be- rörda myndigheterna i samband med införandet av den statliga e-legi- timationen.

Tillgänglighetsargumentet

Som framgått är en del av vårt uppdrag att lämna förslag som innebär att den statliga e-legitimationen görs tillgänglig för så många som möj- ligt, särskilt grupper som för närvarande saknar tillgång till digitala tjänster. Som tidigare beskrivits är utanförskapet på gruppnivå störst hos äldre och personer med funktionsnedsättning samt boende i utan- förskapsområden (se avsnitt 6.6). Detta är grupper som kan förväntas vara hjälpta av tydlighet och förutsebarhet, särskilt i frågor som har med digitalisering eller myndighetskontakter att göra. Tillgänglighet bör i detta sammanhang ses i en vidare bemärkelse än att det rent fak- tiskt ska vara möjligt att skaffa en e-legitimation. Vi menar att en väsent- lig del i att tillgängliggöra den statliga e-legitimationen också består i att det tydligt framgår vem som ansvarar för utfärdandet och vart en enskild ska vända sig vid eventuella problem eller vid behov av support.

Enligt vår bedömning kan en uppdelning av ansvaret med att ge- nomföra grundidentifieringen respektive att utfärda och i övrigt till- handahålla den statliga e-legitimationen leda till otydlighet. Detta gäller särskilt vid föreslagen ordning där ansökan i sin helhet görs hos den identitetskontrollerande myndigheten, trots att den myndigheten i själva verket endast ansvarar för en – låt vara mycket viktig, men – be- gränsad del av uppdraget. Den myndighet som efter ansökningstillfället ska ha det långsiktiga ansvaret för administration och support i använd- ningsskedet är i stället den utfärdande myndigheten, alltså Digg. För den enskilde, som inte kommer i kontakt med Digg under ansöknings- förfarandet, kommer det sannolikt inte att vara särskilt tydligt att det

184

SOU 2023:61

Utredningens överväganden och förslag

är den myndigheten som ansvarar för utfärdandet. Vidare kan ovana användare tänkas ställa frågor kopplade till användningen redan vid utfärdandet, något som en enskild handläggare vid den identitets- kontrollerande myndigheten behöver ha beredskap för.

Förvaltningsrättsliga frågeställningar

En uppdelning av ansvaret aktualiserar förvaltningsrättsliga frågeställ- ningar, exempelvis med avseende på vilken myndighet som ska ansvara för ett visst beslut och i vilken ordning olika beslut ska överklagas.

Beslut som en myndighet fattar och åtgärder som vidtas gentemot en enskild utgör myndighetsutövning. Den identitetskontrollerande myndigheten kommer i samband med grundidentifieringen att kon- trollera och bedöma om den information en sökande åberopar är sådan att identiteten ska anses styrkt. Detta får i sig anses utgöra myndig- hetsutövning och resultatet av bedömningen är i praktiken av avgö- rande betydelse för om Digg ska bifalla ansökan om en statlig e-legi- timation eller inte. De överväganden som Digg gör och beslutet som övervägandena leder fram till utgör i sin tur myndighetsutövning som utövas av Digg. Vi har inte kunnat identifiera någon annan verksamhet i vilken skilda myndigheter, inom ramen för ett och samma ansök- ningsförfarande, utövar myndighet på ett motsvarande sätt.

Vi menar att uppdelningen, beroende på hur myndigheterna orga- niserar sitt samarbete, kan leda till gränsdragningsproblem som behöver hanteras. Således finns det skäl att beakta om såväl den identitetskon- trollerande myndighetens som Diggs beslut är sådana att de måste kunna överklagas var för sig och i sådant fall vilka konsekvenser det får för enskilda som, vid avslag på ansökan, kan komma att behöva över- klaga två skilda beslut i stället för ett. Om myndigheterna kan orga- nisera sig på ett sätt där dubbla överklaganden undviks, finns det skäl att överväga hur ett nödvändigt informationsutbyte mellan myndig- heterna ska ske vid en eventuell överprövning.

Uppdelat personuppgiftsansvar

Ett uppdelat ansvar för grundidentifieringen och utfärdandet leder som beskrivs i avsnitt 7.11 till ett uppdelat personuppgiftsansvar och att en myndighet får en biträdesroll till en annan. En stor mängd personuppgif-

185

Utredningens överväganden och förslag

SOU 2023:61

ter behöver hanteras inom ramen för verksamheten med att tillhanda- hålla en statlig e-legitimation, vissa med betydande integritetsrisker. När uppgifterna ska delas mellan olika myndigheter ökar integritets- riskerna och det ställs särskilt höga krav på hanteringen. Såväl Skatte- verket som Polismyndigheten hanterar dessutom i stor utsträckning motsvarande personuppgifter i sin egen verksamhet som de ska föra in i Diggs register. Detta medför att Diggs ansvar som personuppgiftsan- svarig riskerar att bli svåröverskådligt exempelvis när tillsyn ska utföras.

Genomförandeaspekter

Med hänsyn till att utvecklingen på e-legitimationsområdet sker snabbt kommer det finnas behov av att smidigt kunna implementera nya ruti- ner eller bestämmelser för verksamheten med en statlig e-legitimation. Ett uppdelat ansvar förutsätter en god samverkan mellan de inblandade myndigheterna för att inte riskera att leda till ökad administration, som i sin tur kan orsaka längre införandetider och högre kostnader.

7.7Giltighetstid och återkallelse

7.7.1Den statliga e-legitimationens giltighetstid

Utredningens förslag: Den statliga e-legitimationen ska ha en gil- tighetstid om högst fem år.

Begränsning av giltighetstiden får föreskrivas bara i särskilt an- givna fall.

Utredningens bedömning: Om den statliga e-legitimationen till- handahålls på en fysisk id-handling ska giltighetstiden motsvara den som gäller för den fysiska id-handlingen.

Skälen för utredningens förslag och bedömning

Vid bedömningen av vad som utgör en lämplig giltighetstid för den statliga e-legitimationen finns det framför allt skäl att beakta säkerhets- riskerna med en alltför lång giltighetstid, men också användarper- spektivet och administrationsbördan vid en för kort giltighetstid.

186

SOU 2023:61

Utredningens överväganden och förslag

2017 års ID-kortsutredning föreslog att giltighetstiden för ett stat- ligt id-kort skulle vara fem år och att e-legitimationen på kortet skulle ha motsvarande giltighetstid. Utredningen hänvisade till att giltighets- tiden för det nationella identitetskortet, liksom för identitetskortet för folkbokförda är högst fem år. En sådan begränsning av giltighets- tiden angavs vara av stor betydelse ur ett säkerhetsperspektiv eftersom innehavarens utseende inte hinner förändras i så stor utsträckning under giltighetstiden. Vidare framhöll utredningen att en begränsad giltighetstid minskar risken för att det samtidigt finns flera olika ver- sioner av id-kortet tillgängliga på marknaden och gör att det finns goda förutsättningar för att handlingarna ska kunna innehålla de senaste säkerhetsdetaljerna, vilket motverkar förfalskningar.106

För BankID på kort och Svenska Pass e-legitimation gäller en giltig- hetstid om fem år. Även pass och nationella id-kort är giltiga i fem år, men för sökande under tolv år är giltighetstiden begränsad till tre år.107 Enligt vår uppfattning saknas det skäl för att göra en annan be- dömning vad avser giltighetstiden för den statliga e-legitimationen än vad som gäller för andra identitetshandlingar eller e-legitimationer på fysiska bärare. Giltighetstiden för den statliga e-legitimationen bör därför högst vara fem år.

Vi har mottagit synpunkten att kostnaden för att förnya sin e-legi- timation vart femte år skulle bli oskäligt betungande för många männi- skor. Den statliga e-legitimationen ska emellertid, precis som ett pass och det nationella id-kortet, betraktas som en värdehandling. Vi anser därför att det finns goda skäl för att den statliga e-legitimationen ska vara avgiftsbelagd på samma sätt. Vidare är säkerhetsaspekterna som motiverar en begränsad giltighetstid sådana att de överväger nackdelen med ifrågavarande kostnad. För det fall e-legitimationen utfärdas på en annan identitetshandling kan det emellertid finnas skäl att överväga en samordnad kostnad (se mer om avgifter i avsnitt 7.9).

Till skillnad från 2017 års ID-kortsutredning och Digg gör vi be- dömningen att den statliga e-legitimationen ska kunna utfärdas till personer som innevarande kalenderår är eller ska fylla nio år (se av- snitt 7.4.2). Giltighetstiden för pass och nationella id-kort som utfärdas till barn under tolv år sänktes till tre år 2016. Som skäl för föränd- ringen angav regeringen bl.a. att ett barns utseende genomgår väsent-

106Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14) s. 227.

107Se 3 § andra stycket passlagen (1978:302) och 5 § andra stycket förordning (2005:661) om nationellt identitetskort.

187

Utredningens överväganden och förslag

SOU 2023:61

liga förändringar under uppväxtåren, vilket kunde leda till missbruk i form av s.k. ”lookalike-användning”.108

Enligt vår bedömning gör förväxlingsriskerna vid användning av en e-legitimation sig inte gällande i samma utsträckning som för en fysisk id-handling. Att begränsa giltighetstiden av det skälet är därför inte nödvändigt. Vi kan dock konstatera att en ordning där giltighets- tiden för bäraren och e-legitimationen blir överlappande inte framstår som önskvärd. Av det skälet anser vi att giltighetstiden för e-legitima- tioner som utfärdats till personer under 12 år bör begränsas till tre år om de utfärdas på ett fysiskt id-kort. När så inte är fallet bör giltighets- tiden i stället vara högst fem år.

2017 års ID-kortsutredning föreslog, med hänvisning till dess stora betydelse ur ett säkerhetsperspektiv, att giltighetstiden skulle regleras i lag.109 Vi instämmer visserligen i att giltighetstiden är av stor betydelse ur ett säkerhetsperspektiv, men menar att det för den statliga e-legiti- mationen framstår som mer ändamålsenligt att giltighetstiden framgår av förordning. Skälet till den bedömningen är att det inte kan uteslutas att den snabba utvecklingen på e-legitimationsområdet medför att för- ändringar kan behöva genomföras med skyndsamhet.

Normgivningsnivån följer därmed också den som gäller för befint- liga fysiska id-handlingar.

Undantag som innebär begränsningar av giltighetstiden får före- skrivas bara i särskilt angivna fall, exempelvis på grund av tillfälligt hinder mot att ta fingeravtryck. En begränsad giltighetstid i sådant fall bör lämpligen motsvara vad som gäller i fråga om provisoriska pass, dvs. högst sju månader (se 13 § passförordningen).110

För det fall den statliga e-legitimationen utfärdas på ett fysiskt id- kort bör begränsningar av giltigheten för det fysiska id-kortet gälla även för den statliga e-legitimationen.

7.7.2Återkallelse och spärr av e-legitimationen

Utredningens förslag: Den statliga e-legitimationen ska återkallas och spärras om det är nödvändigt av säkerhetsskäl eller om förut- sättningarna för utfärdande inte längre är uppfyllda eller har ändrats

108Prop. 2015/16 :81 s. 20 f.

109Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 227.

110Se även förslaget från 2017 års ID-kortsutredning, a.a. s. 290 ff.

188

SOU 2023:61

Utredningens överväganden och förslag

väsentligt. E-legitimationen ska också kunna återkallas och spärras på begäran av innehavaren.

E-legitimationen ska också återkallas och spärras om den inte har aktiverats inom sex månader efter att ansökan och grundidenti- fieringen genomfördes eller om innehavaren är avliden.

Om den statliga e-legitimationen har återkallats eller spärrats måste ett nytt ansökningsförfarande initieras innan en ny statlig e-legitimation kan utfärdas.

En statlig e-legitimation ska spärras senast i samband med att en ny statlig e-legitimation utfärdas eller, om förnyelse inte har skett, automatiskt när giltighetstiden har gått ut.

Utredningens bedömning: Om den statliga e-legitimationen finns på en fysisk id-handling ska e-legitimationen återkallas om den fysiska id-handlingen återkallas.

Det bör av säkerhetsskäl inte vara möjligt att häva en spärr av e-legitimationen även om omständigheterna som föranledde spärren inte längre föreligger.

Skälen för utredningens förslag och bedömning

En statlig e-legitimation ska endast utfärdas under vissa angivna för- utsättningar och kan i innehavarens hand ge åtkomst till betalmark- naden samt olika välfärdsförmåner. Om e-legitimationen missbrukas eller om förutsättningarna för utfärdande inte längre är uppfyllda måste det vara möjligt att återkalla och skyndsamt spärra e-legitimationen.

Det kan också finnas skäl att återkalla en statlig e-legitimation om väsentliga uppgifter om innehavaren förändras. Förändrade uppgifter kan i sin tur medföra att nya säkerhetsöverväganden måste göras eller att förutsättningarna för utfärdande inte längre kan anses vara upp- fyllda, även om de var det när e-legitimationen utfärdades. Så kan exempelvis vara fallet om ett samordningsnummer får ändrad identi- tetsnivå eller förklaras vilande samt vid namnbyte eller byte av person- nummer. Enligt vår bedömning är de uppgifter som en statlig e-legiti- mation innehåller till övervägande del av sådan betydelse att de ska anses rymmas inom begreppet väsentlig. Mindre betydande föränd- ringar som inte inverkar på de höga säkerhetskrav som gäller bör dock inte medföra att e-legitimationen återkallas.

189

Utredningens överväganden och förslag

SOU 2023:61

2017 års ID-kortsutredning föreslog att den statliga e-legitima- tionen skulle upphöra att gälla om det statliga identitetskort som den fanns på återkallades eller om det var nödvändigt av säkerhetsskäl. Vi- dare bedömde utredningen att återkallelsen skulle begränsas till viss bestämd tid, dock högst sex månader, om det var lämpligt med hänsyn till omständigheterna.111

Vår bedömning är att den statliga e-legitimationen så snart som möjligt ska tillhandahållas på en fysisk identitetshandling utfärdad av staten (se avsnitt 7.2.2). Vid en sådan ordning bör den statliga e-legiti- mationen upphöra att gälla om den fysiska bäraren återkallas.

Oavsett om e-legitimationen utfärdas på ett statligt id-kort eller inte finns det emellertid, som också 2017-års ID-kortsutredning kon- staterade, situationer då det finns skäl att återkalla endast e-legitima- tionen. Enligt den utredningen kunde det till exempel gälla situationer med bedräglig användning av e-legitimationen som rör ett stort antal användare eller att en enskild e-legitimation används på ett sätt som gör att misstanke om bedräglig användning uppstår.112 Vi ansluter oss till den bedömningen.

En statlig e-legitimation som har återkallats eller upphört att gälla bör göras obrukbar genom att den spärras elektroniskt. Om e-legiti- mationen tillhandahålls ensamt på en fysisk bärare bör det inte införas något krav på att e-legitimationen ska återlämnas efter återkallelsen. Skälet till det är att kortet kommer att vara obrukbart när e-legitima- tionen återkallats, varför någon risk för missbruk inte föreligger. Mot den bakgrunden framstår den administration som skulle krävas för att hantera och registrera återlämnade e-legitimationer som omotiverad. Inte heller om den statliga e-legitimationen placeras på en annan fysisk id-handling bör återlämnande krävas eftersom det fysiska id-kortet i ett sådant fall bör kunna användas trots att e-legitimationen är åter- kallad och spärrad. 2017-års ID-kortsutredning gjorde i detta avseende motsvarande bedömning.113

Om säkerhetsbrister upptäcks eller om misstanke uppkommer om att en e-legitimation använts i brottslig verksamhet kan det uppstå be- hov av att spärra e-legitimationen skyndsamt och utan att fullständigt underlag finns. 2017 års ID-kortsutredning identifierade motsvarande behov och ansåg att det skulle vara möjligt att återkalla en e-legitima-

111Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14), s. 346.

112A.a. s. 347.

113Ibid.

190

SOU 2023:61

Utredningens överväganden och förslag

tion tillfälligt. Av 25 § första stycket 3 förvaltningslagen (2017:900) framgår att en myndighets beslut får meddelas omedelbart utan före- gående kommunikation med parten om ett väsentligt allmänt eller en- skilt intresse kräver det. Ett beslut om att återkalla en e-legitimation bör därför, som också 2017 års ID-kortsutredning kom fram till, ofta kunna fattas utan att parten underrättas i förväg.114 Det ska också vara möjligt att spärra den statliga e-legitimationen efter anmälan av inne- havaren.115

Av säkerhetsskäl och eftersom det inte ska vara möjligt att inneha mer än en statlig e-legitimation samtidigt ska den statliga e-legitima- tionen spärras senast när en ny e-legitimation utfärdas. Av samma skäl måste en automatisk spärr av e-legitimationen ske om innehavaren inte har inlett ett nytt ansökningsförfarande innan giltighetstiden har passerat.

Tillämpningsbestämmelser om förfarandet vid spärr av den statliga e-legitimationen meddelas på förordningsnivå eller i myndighetsföre- skrifter.

Vi har övervägt om det ska finnas en möjlighet att häva spärren exempelvis om det skulle visa sig att ifrågavarande säkerhetsbrist eller brottsmisstanke inte längre föreligger. Syftet med det skulle främst vara att undvika den administrativa börda det skulle innebära för den identitetskontrollerande och utfärdande myndigheten att utfärda nya e-legitimationer. Det skulle också vara en praktisk hantering exempelvis i de fall den statliga e-legitimationen spärrats på begäran av innehavaren vid misstanke om att den förkommit men senare återfinns. Vi har dock kommit fram till att det av säkerhetsskäl inte är lämpligt att införa en möjlighet att häva en spärr utan att ett nytt ansökningsförfarande genomförs. Följden av att en statlig e-legitimation återkallas eller spärras blir alltså att innehavaren måste ansöka på nytt och i samband med det uppfylla de krav som ställs.

Att utfärdaren ska tillhandahålla en spärrtjänst följer av eIDAS- förordningen. I den mån det finns behov av att ytterligare reglera för- farandet vid spärr på innehavarens begäran kan det ske genom myndig- hetsföreskrifter.

114Ibid.

115Jfr t.ex. 3 kap. 1 § Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identitetskort (RPSFS 2009:14).

191

Utredningens överväganden och förslag

SOU 2023:61

7.8Användningen av den statliga e-legitimationen

Utredningens förslag: Regeringen eller den myndighet som reger- ingen bestämmer ska få meddela föreskrifter om villkor för när och hur den statliga e-legitimationen får användas.

Skälen för utredningens förslag

Viss civilrättslig och straffrättslig reglering är tillämplig vid användning av e-legitimationer

Som framgått i kapitel 4 kan en e-legitimation ha olika användnings- områden men gemensamt för samtliga e-legitimationer är att de kan användas för identifiering. Därutöver kan e-legitimationer användas för att skapa en elektronisk underskrift. Vid sidan av dessa båda funk- tioner kan en e-legitimation användas som betalningsinstrument. Hur en e-legitimation används påverkar vilken reglering som är tillämplig, och därmed vilka krav som gäller för utfärdaren, användaren och i förekommande fall förlitande part.

En av förutsättningarna för att kunna skaffa någon av de e-legiti- mationer som för närvarande tillhandahålls av svenska aktörer är att sökanden godkänner de villkor som gäller för utställande och använd- ning. Genom avtal regleras således bl.a. skyldigheter för innehavaren, såsom att skydda sin e-legitimation och inte överlåta den till någon annan. Såvitt gäller användning av e-legitimationer som betalnings- instrument avtalas sådana aktsamhetsregler numera även till förmån för tredje man via s.k. tredjemansavtal.

Även övriga uppkomna partsrelationer är huvudsakligen avtalsreg- lerade; mellan e-legitimationsutfärdare, identitetsintygsutfärdare, till- handahållare av anvisningstjänst, legitimeringstjänst, och behörighets- kontrolltjänst samt förlitande part (se avsnitt 4.1). Vid användning av en e-legitimation, även obehörig sådan, är det alltså i första hand utifrån avtalsrättsliga regler frågan om innehavarens bundenhet får avgöras.

Obehörig användning av e-legitimation kan delas in i olika kate- gorier, t.ex. obehörig identifiering med e-legitimation, obehörig under- skrift med e-legitimation och obehörig transaktion med betalnings- instrument, varav främst de två sistnämnda används för otillbörlig

192

SOU 2023:61

Utredningens överväganden och förslag

förmögenhetsöverföring och därmed resulterar i större massmedial uppmärksamhet och fler straff- och civilrättsliga processer.

Förutsättningen för att innehavaren inte ska bli bunden är att det verkligen handlar om obehörig användning av e-legitimationen, dvs. det får varken föreligga samtycke eller fullmakt som grund för den aktuella användningen. Möjligen kan passivitet inför förfalskningen

att personen trots kunskap om den obehöriga användningen under- låter att meddela motparten detta, tänkas leda till bundenhet.116

Som framgår nedan finns det särreglering beträffande användning av e-legitimation som betalningsinstrument, bl.a. regler om ansvarsfördel- ning vid uppkommen skada. I övrigt får skadeståndslagen (1972:207) och allmänna skadeståndsrättsliga principer tillämpas. Den skada som åsamkas utgörs normalt av ren förmögenhetsskada, dvs. ekonomisk skada som uppkommer utan samband med en person- eller sakskada (se 1 kap. 2 § skadeståndslagen). Skadeståndsrätten skiljer också mellan skador som uppkommer i avtalsförhållanden och skador som uppkom- mer utanför avtalsförhållanden, s.k. utomobligatoriska förhållanden. Skadeståndslagen innehåller en särskild bestämmelse om ersättning för ren förmögenhetsskada i utomobligatoriska förhållanden. Enligt 2 kap. 2 § i den lagen ska den som vållar ren förmögenhetsskada genom brott ersätta skadan.

Vad gäller strafflagstiftningen har den vid ett antal tillfällen upp- daterats för att anpassas för elektroniska underskrifter. Brotten mot urkunder inkluderar numera elektroniska urkunder (14 kap. 1 § brotts- balken). Reglerna om urkundsförfalskning och sanningsbrotten (t.ex. osann försäkran, osant intygande och missbruk av urkund i 15 kap. brottsbalken) gäller på samma sätt för en elektronisk urkund. Dess- utom finns även bestämmelser om olovlig identitetsanvändning (4 kap. 6 b § brottsbalken) samt olovlig befattning med betalningsverktyg (9 kap. 3 c §) som också kan tillämpas. Det är alltså kriminaliserat att exempelvis använda någon annans e-legitimation som gällande för sig eller att överlämna e-legitimationen och säkerhetskod till någon annan för att missbrukas på det sättet (missbruk av urkund, 15 kap. 12 § brotts- balken). Det utgör samtidigt ett avtalsbrott mot utställaren av e-legiti- mationen.

116Aagaard, M., Obehörig användning av e-legitimation och läran om misstagsbetalning, JT nr 4 2021–22, s. 866 ff., och den däri gjorda hänvisningen till Hessler, H. Obehöriga förfaranden med värdepapper – en studie över de civilrättsliga verkningarna av förfalskning och annan oegentlighet beträffande löpande skuldebrev, växlar, checkar och bankböcker, 1981.

193

Utredningens överväganden och förslag

SOU 2023:61

Skadeståndsansvar vid gränsöverskridande användning enligt eIDAS-förordningen

I eIDAS-förordningen finns bestämmelser om skadeståndsansvar i artikel 11 såvitt gäller e-legitimationer. Skadeståndsansvar gäller för den som utfärdar en e-legitimation och för den som handhar auten- tiseringsförfarandet117, vid underlåtelse att uppfylla sina respektive skyldigheter enligt förordningen (artikel 11.2 och 11.3). Som tidigare redovisats gäller förordningens bestämmelser om elektronisk identi- fiering, såväl som bestämmelserna om betrodda tjänster, enbart vid användning över landsgränserna inom EU. För sådan gränsöverskrid- ande användning av en svensk e-legitimation krävs att Sverige som med- lemsstat anmäler e-legitimationssystemet enligt ett särskilt förfarande (se beskrivning i avsnitt 4.2.3). Medlemsstaten utgör en garant för att anmälda system uppfyller förordningens krav och omfattas därför också av skadeståndsansvar vid underlåtelse att uppfylla ålagda skyldig- heter (artikel 11.1 och artikel 7).

Även för tillhandahållare av betrodda tjänster föreskrivs skade- ståndsansvar för skada som åsamkats en fysisk eller juridisk person av- siktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla kraven i förordningen (artikel 13). Med betrodda tjänster avses enkelt uttryckt elektroniska tjänster som erbjuder vissa utpekade funktioner kopplade till elektroniska underskrifter, elektroniska stämplar, elektro- niska tidsstämplingar eller certifikat för autentisering av webbplatser. Dessutom utgör elektroniska tjänster för rekommenderade leveranser, i sig, betrodda tjänster (se legaldefinitionen i artikel 3.16 i eIDAS- förordningen). När en e-legitimation, som erbjuds tillsammans med möjligheten att skapa elektroniska underskrifter (såsom BankID och Freja+), används för att skapa sådana elektroniska underskrifter, ut- gör tjänsten en betrodd tjänst.

Givet att den föreslagna statliga e-legitimationen anmäls för gräns- överskridande användning, och kan användas för att framställa kva- lificerade elektroniska underskrifter (se förslag i avsnitt 7.3), kan skadeståndsskyldighet enligt bestämmelserna i eIDAS-förordningen uppkomma för svenska staten i samtliga redovisade roller. I såväl artikel 11 som artikel 13 anges att förordningsreglerna vad gäller skadestånd ska tillämpas i enlighet med nationella bestämmelser om

117Härmed avses både nodmyndigheten och utfärdaren av e-legitimationen i sina respektive delar av autentiseringen, se reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 359.

194

SOU 2023:61

Utredningens överväganden och förslag

skadeståndsansvar (se även skäl 18 och skäl 37 i förordningens ingress). Förordningen påverkar därmed inte tillämpningen av nationella be- stämmelser om t.ex. definition av skada, oaktsamhet eller relevanta tillämpliga förfaranderegler, inbegripet regler om bevis. Som konsta- terades av Utredningen om effektiv styrning av nationella digitala tjänster går det inte att med säkerhet säga vilken medlemsstats natio- nella regler som kan bli tillämpliga. I frågor om gränsöverskridande identifiering kan den skadelidande befinna sig i en medlemsstat och den skadeståndsansvarige i en annan. Dessa respektive medlems- stater kan ha nationell rätt som ger motstående lösningar på lagvals- problemen. I dessa fall får ledning sökas i Europaparlamentet och Rådets förordning (EG) nr 864/2007 av den 11 juli 2007 om tillämplig lag för utomobligatoriska förpliktelser (Rom II).118

Även vid gränsöverskridande användning av den föreslagna statliga e-legitimationen är det alltså mot skadeståndslagen och allmänna skade- ståndsrättsliga principer som uppkomna frågor om ersättningsrätt prö- vas, givet att svensk lag ska tillämpas. Hur dessa principer ska tillämpas på skador i nu aktuella fall får, som på andra områden inom skade- ståndsrätten, bli en uppgift för rättstillämpningen att avgöra.

För det fall privata underleverantörer anlitas av staten för att upp- fylla sina åtaganden har det tidigare påtalats att det är av vikt att tyd- liga avtal upprättas som reglerar skadeståndsansvar mellan staten och de privata aktörerna. Detta för att begränsa risken för att staten tvingas ta ett skadeståndsansvar som inte var påtänkt eller att tvister uppstår mellan avtalsparterna.119

Särskild reglering och rättspraxis i fråga om användning

av e-legitimationer för betalningstransaktioner och ingående av kreditavtal

När en e-legitimation, såsom BankID, Freja+, eller den föreslagna statliga e-legitimationen, används som elektronisk underskrift för att initiera en betalningsorder, anses själva e-legitimationen utgöra ett betalningsinstrument enligt en tolkning av bestämmelsen i 1 kap. 4 § första stycket lagen (2010:751) om betaltjänster (härefter betaltjänst-

118reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 367 ff.

119A.a. s. 360.

195

Utredningens överväganden och förslag

SOU 2023:61

lagen).120 I sådana fall gäller också reglerna om obehöriga transaktioner i samma lag.

En betaltjänstleverantör, t.ex. en bank eller kreditinstitut, har av konsumentskyddsskäl vissa skyldigheter att återställa konton (5 a kap. 1 § nämnda lag), men bestämmelserna fastslår också betaltjänstan- vändarens ansvar att skydda sina personliga behörighetsfunktioner.

Vid ett grovt oaktsamt åsidosättande av de skyldigheter att skydda sitt betalningsinstrument som åvilar innehavaren enligt 5 kap. 6 § betal- tjänstlagen, blir denne ansvarig för maximalt 12 000 kronor. Det är först vid ett särskilt klandervärt agerande som konsumentens ansvar blir obegränsat (5 a kap. 3 § nämnda lag). Ett prejudikat från Högsta domstolen ger viss vägledning avseende konsumenters ansvar för obe- höriga transaktioner, när transaktionen möjliggjorts av konsumenten själv i samband med att denna utsatts för ett bedrägeri.121

Betaltjänstlagens regler omfattar däremot inte en ansökan om kre- ditavtal, eftersom det då inte är fråga om att e-legitimationen används som ett betalningsinstrument.122 Som tidigare nämnts är det därför mot allmänna avtalsrättsliga och skadeståndsrättsliga regler och principer som frågan om bundenhet respektive ersättningsrätt får prövas.

Kreditgivaren (förlitande part) har genom den obehöriga använd- ningen drabbats av en ren förmögenhetsskada och har därmed möjlig- het att rikta sitt anspråk gentemot bedragaren (2 kap. 2 § skadestånds- lagen). Eftersom bedragaren ofta är okänd har kreditgivare gjort vissa försök med att åberopa andra rättsliga grunder än avtalsbundenhet för att rikta anspråk mot innehavaren av den obehörigen använda e-legi- timationen, bl.a. återbetalning med stöd i läran om misstagsbetalningar

120Enligt legaldefinitionen är ett betalningsinstrument ”ett kontokort eller något annat personligt instrument eller rutin som enligt avtal används för att initiera en betalningsorder.” I förarbetena har ”ett s.k. bank-id som registreras i datorn” nämnts som exempel på sådana betalningsinstrument, prop. 2009/10:122 s. 24.

121NJA 2022 s. 522 (”BankID-bedrägeriet”), om gränsen mellan ageranden som sker av grov oaktsamhet och ageranden som är särskilt klandervärda. Bankkunden lurades via telefonsamtal att medverka till att en bedragare kunde upprätta ett nytt mobilt BankID i kundens namn, vilket bedragaren sedan, och utan kundens vetskap, använde för att överföra cirka 400 000 kronor från kundens konto. Det sätt på vilket kunden medverkade var, utöver att på annans begäran an- vända sitt BankID och sin bankdosa för att legitimera sig, att ge ut åtminstone en svarskod från bankdosan till bedragaren. Högsta domstolen bedömde att bankkundens agerande inte var att bedöma som särskild klandervärt, och ansvaret begränsades till 12 000 kronor i enlighet med bestämmelsen i 5 a kap. 3 § andra stycket betaltjänstlagen. Allmänna reklamationsnämnden (ARN) har därefter meddelat ett antal avgöranden, som kan ge viss ytterligare vägledning för bedömningen av ansvarsfördelningen enligt betaltjänstlagen, se t.ex. Aagaard, M., ARN och obehöriga transaktioner, SvJT 2023 s. 457.

122I Norge har man däremot valt att på samma sätt som ”kontotömning” behandla agerande som består i att använda någon annans e-legitimation för att upprätta kreditavtal i dennes namn, lov-2020-12-18-146 (finansavtaleloven) § 3–20.

196

SOU 2023:61

Utredningens överväganden och förslag

(condictio indebiti). En anledning till detta har varit att det tidigare rått osäkerhet huruvida den omständigheten att innehavaren brustit

isin skyldighet att skydda e-legitimationen och dess tillhörande be- hörighetsfunktioner kan utgöra ett avtalsbrott som kan åberopas av andra än utställaren av den ifrågavarande e-legitimation. Kreditgiva- ren är i relation till avtalet för utställandet av e-legitimationen att anse som tredje man.

Det finns förhållandevis få överrättsavgöranden och praxis är inte helt entydig för de fall som har prövats rättsligt i detta avseende. Enligt vad som tidigare angetts gäller dock numera aktsamhetskraven även till förmån för tredje man. Detta torde innebära att den som över- lämnar sin e-legitimation och säkerhetskod till en bedragare vilken, i innehavarens namn, ingår kreditavtal, kan bli ersättningsansvarig gen- temot kreditgivaren på grund av avtalsbrott (bristande aktsamhet). I dessa fall finns i Sverige inte konsumentskyddande regler motsva- rande betaltjänstlagens bestämmelser om betaltjänstleverantörens skyl- dighet att återställa kontot. Huruvida det finns anledning att överväga ett författningsreglerat konsumentskydd för dessa situationer ligger dock utanför ramen för vårt utredningsuppdrag.

Vissa åtgärder som kan minska risken för obehörig användning och missbruk av e-legitimationer

Lösenord eller aktiveringskod är, som framgått, nödvändiga för att använda en e-legitimation, exempelvis för inloggning för en digital tjänst eller betalningstransaktioner. I vissa fall ställs ytterligare krav.

Vid bl.a. inloggning online på betalkonto och vid betalningstrans- aktioner ska betaltjänstleverantören tillämpa stark kundautentisering (5 b kap. 4 § betaltjänstlagen).123 I en av Kommissionen antagen för- ordning med tekniska standarder fastställs de krav som betaltjänst- leverantörer ska efterleva i fråga om att genomföra säkerhetsåtgärder så att det blir möjligt för dem att bl.a. tillämpa förfarandet för en stark kundautentisering och skydda betaltjänstanvändarens personliga be-

123Enligt legaldefinitionen i 1 kap. 4 § betaltjänstlagen är det fråga om ”en autentisering som grundas på användning av två eller flera komponenter, kategoriserade som kunskap (något som bara an- vändaren vet), innehav (något som bara användaren har) och unik egenskap (något som användaren är), som är fristående från varandra så att det förhållandet att någon har kommit över en av kom- ponenterna inte äventyrar de andra komponenternas tillförlitlighet, och som är utformad för att skydda autentiseringsuppgifterna mot obehörig åtkomst”. Se mer om begreppet autentisering i avsnitt 3.4.

197

Utredningens överväganden och förslag

SOU 2023:61

hörighetsuppgifter.124 Förordningen innehåller regler om dynamiska kopplingar, dvs. vid den starka kundautentiseringen ska transaktionen kopplas till ett specifikt belopp och en specifik betalningsmottagare (artikel 5, se även 5 b kap. 4 § andra stycket betaltjänstlagen). Betalaren ska med andra ord informeras om belopp och mottagare när stark kundautentisering tillämpas för en betalning. Som tidigare nämnts anses e-legitimationen utgöra ett betalningsinstrument när det använts för att initiera en betalningstransaktion.

Vid autentisering i andra sammanhang, som t.ex. vid elektronisk underskrift i samband med avtalsingående, kan det däremot räcka med att genomföra autentiseringsprocessen en gång. I syfte att försvåra be- drägerier och identitetsrelaterad brottslighet lämnas information mot vilken tjänst som identifieringen sker eller för vad som skrivs under, och innehavare uppmanas att alltid kontrollera denna text så att den överensstämmer med innehavarens avsikt.

Parallellt med ändrade eller nya författningskrav pågår, enligt vad utredningen erfarit, ett kontinuerligt utvecklingsarbete med befintliga e-legitimationer för att höja säkerheten vid utgivning och användning, ofta i samverkan med rättsutredande myndigheter.

Ett exempel på en säkerhetshöjande åtgärd från senare tid är ”Säker start” för Mobilt BankID, som verifierar att det är samma person som använder e-tjänsten som identifierar sig med e-legitimationen. Säker start av BankID blir obligatorisk från och med maj 2024 för samtliga myndigheter, företag och organisationer som använder BankID i sina e-tjänster.125 Motsvarande funktion (QR-kodsidentifiering) finns även för Freja+.126

Ett nyligen presenterat säkerhetskrav för att skaffa eller förnya ett Mobilt BankID på distans, liksom att genomföra betalningstrans- aktioner av stora belopp, är en digital kontroll av sökandens respektive innehavarens svenska pass eller nationella identitetskort.127 Kravet ökar

124Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om kom- plettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommu- nikationsstandarder. I förordningen finns även tekniska krav, vilka ska uppfyllas utöver dem i eIDAS-regelverket när en e-legitimation används som ett betalningsinstrument.

125Säker start innebär att användning av e-legitimationer för alla e-tjänster behöver startas med

(i) autostart när e-tjänst och BankID används i samma enhet, eller (ii) rörlig QR-kod när e-tjänst och BankID används i olika enheter, se www.bankid.com/tekniska-uppdateringar/saker-start- blir-tvingande-fran-1-maj-2024 (hämtad 2023-07-15).

126frejaeid.com/qr-koder-och-freja-eid/ (hämtad 2023-08-18).

127www.bankid.com/privat/skaffa-bankid (hämtad 2023-09-20). Det är den bank som utfärdar den ifrågavarande e-legitimationen som självständigt avgör tillämpningen av säkerhetskravet.

198

SOU 2023:61

Utredningens överväganden och förslag

säkerheten men förutsätter samtidigt att personen i fråga har erfor- derlig identitetshandling och en smarttelefon med NFC-funktion för att trådlöst kunna avläsa identitetshandlingen.128 Den som saknar en eller båda förutsättningarna är hänvisad att uppsöka ett bankkontor. Även Freja+ kan tillhandahållas på distans genom det beskrivna för- farandet.129

Behov av författningsreglering vid användning av den statliga e-legitimationen

Även om utfärdande och användning av befintliga e-legitimationer är i huvudsak avtalsstyrt finns det, som framgått, rörelselagstiftning samt civil- och straffrättslig reglering som kan tillämpas vid använd- ning och missbruk av e-legitimationer. Befintlig reglering gäller obero- ende av om det är e-legitimationer som utställts av kommersiella aktörer eller en statlig e-legitimation. Likväl måste det, för att en statlig e-legitimation ska kunna användas nationellt, etableras en relation mellan utfärdaren och förlitande parter motsvarande vad som gäller för de befintliga, kommersiella e-legitimationerna (se avsnitt 7.4.3).

I likhet med vad som anfördes av 2017 års id-kortsutredning finns det – även om avsikten är att den statliga e-legitimationen ska kunna användas brett – behov av att kunna meddela föreskrifter om villkor avseende i vilka situationer eller hos vilka aktörer den statliga e-legi- timationen ska kunna användas (se även avsnitt 7.13). Som exempel angavs krav för att en aktör ska få använda identifiering med den statliga e-legitimationen i sin digitala tjänst. Sådana villkor kan exempelvis behövas för att säkerställa att den statliga e-legitimationen inte används i oseriösa sammanhang.130 Ett annat tänkbart villkor för ökad säker- het kan vara kontroll av biometriska uppgifter i samband med id- växling eller vid betalningstransaktioner över visst belopp (se även av- snitt 7.2).131

128Akronymen står för Near Field Communication, som är en standard för överföring av data, kontaktlöst över korta sträckor, vilken standardiseras av NFC-forum.

129frejaeid.com/registrering/ (hämtad 2023-09-20).

130Ett säkert statligt id-kort – med e-legitimation (SOU 2019:14), s. 344.

131Även Utredningen om effektiv styrning av nationella digitala tjänster föreslog föreskriftsrätt för bl.a. villkor för id-växling. Samtidigt gjordes bedömningen att den utfärdande myndig- hetens ansvar omfattar att verifiera identiteten hos en användare som ansöker om id-växling, men inte för den andra utfärdarens fortsatta hantering av uppgifterna om personen i fråga, se reboot – omstart för den digitala förvaltningen (SOU 2017:114) s. 203.

199

Utredningens överväganden och förslag

SOU 2023:61

Likaså kan det, enligt vår bedömning, finnas ett behov att uppställa aktsamhetskrav på innehavare av en statlig e-legitimation, motsvarande de som enligt avtal gäller för befintliga e-legitimationer. Regeringen eller den myndighet regeringen bestämmer bör därför få meddela före- skrifter om villkor för när och hur den statliga e-legitimationen får användas.

7.9Finansiering av den statliga e-legitimationen

Utredningens förslag: Kostnaderna för utfärdandet av den statliga e-legitimationen och grundidentifieringen ska i huvudsak finan- sieras via anslag.

Den som ansöker om en statlig e-legitimation ska betala en avgift. För prövning av ansökan gäller i övrigt bestämmelserna gäller bestämmelserna i 11–14 §§ avgiftsförordningen (1992:191).

Användningen av statlig e-legitimation ska ske på samma kom- mersiella villkor inom offentlig förvaltning som kommersiella e-legitimationer enligt gällande valfrihetssystem eller kommande auktorisationssystem.

Utredningens bedömning: Avgiften för att få en statlig e-legi- timation och avgifter för användning av e-legitimationen kommer att bidra med viss, men inte full, kostnadstäckning.

Om den statliga e-legitimationen utfärdas på en fysisk identi- tetshandling bör en samordnad kostnad övervägas.

Skälen för utredningens bedömning och förslag

Våra förslag om att staten ska tillhandahålla en statlig e-legitimation innebär att verksamheter bestående i att utfärda en statlig e-legitima- tion, liksom att genomföra grundidentifiering behöver etableras. Denna etablering kommer främst att medföra fasta kostnader, varför antalet utfärdade e-legitimationer inte kommer vara av avgörande betydelse i kostnadshänseende. En stor volym utfärdade statliga e-legitimationer kan leda till ökade kostnader, men då som en följd av hantering av ökande ansökningsvolymer, supportärenden, transaktionsvolymer för nätverk och system samt ökat redundansbehov.

200

SOU 2023:61

Utredningens överväganden och förslag

Med hänsyn till att antalet e-legitimationer inte är kostnadsdrivande framstår en modell med avgiftsfinansiering därmed inte som lämplig. En sådan modell skulle förutsätta en hög ansökningsavgift, vilket i motsats till syftet med våra förslag, skulle minska intresset för – och användningen av – den statliga e-legitimationen. Vi ser emellertid ett värde i att innehavet av en statlig e-legitimation är förknippat med en kostnad eftersom e-legitimationen är och behöver betraktas som en värdehandling.

I likhet med vad som gäller för befintliga statliga identitetshand- lingar bör det införas en bestämmelse om att en avgift ska betalas vid ansökning om den statliga e-legitimationen samt en hänvisning till bestämmelserna i 11–14 §§ avgiftsförordningen (1992:191). Avgiften bör som utgångspunkt motsvara den som erläggs vid ansökan om pass eller nationellt identitetskort. Om den statliga e-legitimationen, på det sätt som vi menar är lämpligt (se avsnitt 7.2.2), i ett senare skede kommer tillhandahållas på en statligt utfärdad fysisk id-handling bör en samordnad kostnad övervägas.

Vi bedömer att den statliga e-legitimationen av konkurrensskäl ska hanteras på samma sätt som de kommersiella e-legitimationerna i samband med användning (se mer om detta i avsnitt 7.13). Den stat- liga e-legitimationen kommer därmed att kunna användas för identi- fiering i den offentliga förvaltningens digitala tjänster på samma villkor som de kommersiella e-legitimationerna i valfrihetssystemen eller kommande auktorisationssystem. Även om den statliga e-legitima- tionen enligt vår bedömning initialt inte kommer att utfärdas i så- dana volymer att den genererar några omfattande intäkter, kommer intäkter från förlitande parter att bidra till viss kostnadstäckning.

Vi bedömer i likhet med Digg att anslagsfinansiering är en förut- sättning för att långsiktigt bygga upp verksamheten med att utfärda den statliga e-legitimationen.132 Verksamheten med att utföra grund- identifiering kan enligt vår bedömning delvis finansieras via avgiften för den statliga e-legitimationen, men kommer därutöver att kräva kompletterande anslagsfinansiering.

132Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredo- visning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 90.

201

Utredningens överväganden och förslag

SOU 2023:61

7.10Konkurrensrättsliga frågor

7.10.1Den statliga e-legitimationen ska vara ett komplement till privata alternativ

Utredningens bedömning: Syftet med den statliga e-legitimatio- nen är inte att den ska vara en konkurrent till befintliga privata alter- nativ.

Införandet av en statlig e-legitimation kan bidra till bättre för- utsättningar för en ökad konkurrens på e-legitimationsområdet.

Skälen för utredningens bedömning

Syftet med den statliga e-legitimationen är inte att ersätta befintliga aktörers lösningar utan att vara ett komplement till de kommersiella alternativ som finns på marknaden (se mer om de privata utfärdarna i avsnitt 4.4). Trots den avsikten kommer den statliga e-legitimationen oundvikligen att i viss omfattning konkurrera med privata aktörer.

Givet rätt förutsättningar kan en ökad konkurrens emellertid också bidra till utvecklingen på området. I kommittédirektiven till Utred- ningen om effektiv styrning av nationella digitala tjänster framhölls att privat sektors medverkan i utveckling och leverans av digitala tjäns- ter är en nyckelfaktor för tillväxt och innovation samt för att tillvarata teknikens möjligheter. Vi ansluter oss till såväl den uppfattningen som till den att ett positivt samspel mellan offentlig och privat sektor kan bidra till förnyelse i offentlig verksamhet och samtidigt leda till inno- vation och internationell konkurrenskraft i näringslivet.133 Vi ser näm- ligen att införandet av en statlig e-legitimation, särskilt genom att er- bjuda nya valmöjligheter, kan bidra till att skapa bättre förutsättningar för en ökad konkurrens på e-legitimationsområdet. Detta kan bl.a. ske genom att den id-växling som den statliga e-legitimationen möjlig- gör kan minska tröskeln för nya aktörer att ta sig in på marknaden.

En förbättrad konkurrens kommer emellertid inte per automatik att uppstå till följd av att en statlig e-legitimation införs, men de förslag som lämnas i avsnitt 7.13 kommer enligt vår bedömning skapa bättre förutsättningar för konkurrens mellan olika e-legitimationer vid an- vändning av den offentliga sektorns tjänster. Bristande konkurrens

133Dir. 2016:39.

202

SOU 2023:61

Utredningens överväganden och förslag

finns även inom den privata sektorn men eventuella överväganden i det avseendet ligger utanför ramen för vårt uppdrag.134

För vår del är det i stället relevant att ur ett konkurrensrättsligt perspektiv överväga på vilka villkor och i vilka tjänster den statliga e-legitimationen ska erbjudas. Vid dessa överväganden är offentliga aktörers handlingsalternativ vid anskaffande av e-legitimationer, lik- som hur de bör erbjudas inom privat sektor av betydelse.

7.10.2Konkurrensrättsliga överväganden

Utredningens bedömning: Statens verksamhet att tillhandahålla en e-legitimation kommer att utgöra en ekonomisk verksamhet för vilken vissa förfaranden omfattas av förbudet mot konkurrens- begränsande offentlig verksamhet.

Skälen för utredningens bedömning

Konkurrensbegränsande offentlig säljverksamhet

I 3 kap. 27 § konkurrenslagen (2008:579) finns en konfliktslösnings- regel som kan tillämpas vid konkurrensbegränsande offentlig säljverk- samhet i kommunal eller statlig regi.135 Regeln innebär, för statlig verk- samhets del, att staten får förbjudas att i sådan säljverksamhet som omfattas av konkurrenslagen tillämpa ett visst förfarande om förfa- randet:

snedvrider eller är ägnat att snedvrida förutsättningarna för en effektiv konkurrens på marknaden, eller

hämmar eller är ägnat att hämma förekomsten eller utvecklingen av en sådan konkurrens.

134Se bl.a. avsnitt 7.13.4 samt ett vidare resonemang om konkurrensen på betalmarknaden och e-legitimationens roll i det sammanhanget se Betalningsutredningen (SOU 2023:16), avsnitt 8.8 och kapitel 9.

135I lagens förarbeten (prop. 2008/09:231 s. 35) angavs att konkurrenssnedvridningar som följd av offentlig säljverksamhet i allmänhet har sin grund i att staten, kommunen eller landstinget kan bedriva sådan verksamhet utan några påtagliga risker för verksamhetens existens, eftersom dessa aktörer inte kan försättas i konkurs. Därmed verkar offentliga aktörer på marknaden under andra förutsättningar än vad privata företag gör.

203

Utredningens överväganden och förslag

SOU 2023:61

Med säljverksamhet avses en offentlig verksamhet av ekonomisk eller kommersiell natur. Verksamheten behöver inte vara inriktad på ekonomisk vinst för att omfattas av bestämmelserna. Tillämpning av konfliktlösningsregeln kräver inte heller att en offentlig aktör har en dominerande ställning eller har ingått något avtal. För den del av verk- samheten som består i myndighetsutövning är bestämmelserna inte tillämpliga.136

En konkurrensbegränsning innebär att en offentlig aktör snedvrider eller hämmar en effektiv konkurrens. Begreppet snedvrida avser situa- tionen att konkurrens inte råder på så lika villkor som möjligt, exempel- vis eftersom den offentliga aktören behandlar företag olika utan saklig grund eller drar oberättigade fördelar av en myndighetsroll vid sidan av säljverksamheten. Begreppet hämma tar sikte på förfaranden som leder till att privata alternativ faller bort eller att privata aktörer över huvud taget inte träder in på marknaden. Det kan även vara så att de privata företagens tillväxt och utveckling i övrigt hejdas eller på annat sätt hålls tillbaka.137

Det är Konkurrensverket som utreder om ett agerande skadar driv- krafterna till konkurrens på en viss marknad. Utgångspunkten för be- dömningen är om konkurrenstrycket på den relevanta marknaden ökar eller minskar till följd av en offentlig aktörs beteende. Det är de lång- siktiga effekterna som ska beaktas och inte vad som sker eller kan ske på kort sikt. Neutrala beteenden påverkar inte konkurrensen och en offentlig aktör kan exempelvis ha rätt att upprätthålla service och annan infrastruktur på områden där det saknas ett kommersiellt utbud.138

Förbud får inte meddelas för förfaranden som är försvarbara från allmän synpunkt. I förarbetena till bestämmelsen angavs som en väsent- lig utgångspunkt för regeringens förslag att det, vid tillämpning av kon- fliktlösningsregeln, måste vara möjligt att ta hänsyn till andra allmänna intressen än konkurrensintresset som kan uppväga den konkurrens- snedvridning som ett visst beteende kan ge upphov till. Beteenden som kunde försvaras från allmän synpunkt skulle enligt regeringen inte för- bjudas med stöd av konfliktlösningsregeln. Huruvida försvarbarhet föreligger eller inte skulle enligt regeringen prövas i det särskilda fallet. En för bedömningen viktig faktor angavs dock vara om det konkur- rensfientliga beteendet följer av lag, en annan författning eller något

136Prop. 2008/09:231 s. 56 f.

137Konkurrensverket, Offentligt privat, Konkurrens i kristider, Analys i korthet (Rapport 2023:5), s. 7.

138Konkurrensverket, Tio år med bestämmelser om konkurrensbegränsande offentlig säljverksamhet

– Kommuners säljverksamhet i fokus, (Rapport 2020:2), s.21.

204

SOU 2023:61

Utredningens överväganden och förslag

annat för den offentliga aktören bindande direktiv, t.ex. bolagsordning eller ägardirektiv. Vidare skulle motiven för det konkurrenssnedvri- dande beteendet vägas in i bedömningen. Externa motiv, dvs. det all- männas behov av att säljverksamheten bedrivs, skulle kunna göra ett beteende försvarbart. Slutligen angavs att det borde beaktas om det fanns någon annan väg att tillgodose det andra intresset än just det beteende som skadar konkurrensen när konkurrensintresset vägdes mot ett belagt annat allmänt intresse. För det fall andra möjligheter att tillgodose det allmänna intresset fanns skulle det aktuella beteendet inte anses försvarbart från allmän synpunkt.139

Patent- och marknadsdomstolen är behörig domstol och talan om förbud kan i första hand väckas av Konkurrensverket. Om Konkur- rensverket för ett visst fall beslutar att inte väcka talan om förbud kan talan väckas av de företag som själva berörs av förfarandet eller verksamheten.140

Vår bedömning är att utfärdande av en statlig e-legitimation kom- mer att utgöra ekonomisk verksamhet i konkurrenslagens mening eftersom den kommer att verka på samma konkurrensutsatta marknad som de privata alternativen. Förfaranden som snedvrider eller hämmar konkurrensen och inte är försvarbara från allmän synpunkt kan alltså riskera att förbjudas. Det är därför relevant att överväga vilka åtgärder som kan vidtas för att åstadkomma ett så konkurrensneutralt agerande som möjligt. Vidare finns det – i de fall en viss konkurrenssnedvrid- ning framstår som oundviklig – skäl att överväga om några åtgärder kan och bör vidtas för att säkerställa och tydliggöra att en statlig e-legi- timation tillgodoser samhälleliga intressen som överväger intresset av att säkerställa konkurrens på lika villkor.

7.10.3Den statliga e-legitimationen ska verka på lika villkor som de privata alternativ som finns på marknaden

Utredningens bedömning: Genom att den statliga e-legitimatio- nen anmäls till valfrihetssystemen eller auktorisationssystemen dit även privata aktörer kan ansluta sig undviks konkurrensbegräns- ningar till följd av:

139Prop. 2008/09:231 s. 37f.

1403 kap 27 och 32 §§ konkurrenslagen.

205

Utredningens överväganden och förslag

SOU 2023:61

underprissättning,

att företag behandlas på olika sätt utan godtagbara skäl eller

att företag nekas tillträde till strategiska nyttigheter.

Skälen för utredningens bedömning

Den statliga e-legitimation vi föreslår är, liksom den som Digg, 2017 års ID-kortsutredning och Utredningen om effektiv styrning av natio- nella digitala tjänster föreslagit, avsedd att vara ett komplement till de e-legitimationer som utfärdas av privata aktörer. För att uppnå ett så stort mått av konkurrensneutralitet som möjligt bör den statliga e-legi- timationen, undantaget anslagsfinansieringen, som utgångspunkt verka under liknande villkor som gäller för de privata aktörerna på mark- naden.

Ett ökat konkurrenstryck leder till att samhällets resurser används mer effektivt. Generellt sett ökar risken för skada på konkurrensen, som följd av en viss verksamhet eller förfarande, ju högre marknads- andel den offentliga aktören har. Det bör dock påpekas att reglerna om konkurrensbegränsande offentlig säljverksamhet är dynamiska – det som begränsar konkurrensen i ett fall behöver inte göra det i ett annat och kan förändras över tid.141

Förfaranden som kan snedvrida eller hämma en effektiv konkurrens är exempelvis underprissättning, att behandla företag på olika sätt utan godtagbara skäl, att neka tillträde till strategiska nyttigheter eller att blanda myndighetsutövning med affärsverksamhet.142 Låga priser är som utgångspunkt bra för konsumenterna, men kan också hämma eller snedvrida konkurrensen om effektiva företag, till följd av den offentliga aktörens prissättning, slås ut eller inte vill träda in på marknaden.

Vårt förslag är att den statliga e-legitimationen ska anmälas till val- frihetssystemet eller eventuellt kommande auktorisationssystem och att det ska vara obligatoriskt för alla offentliga aktörer och vissa privata utförare av offentligfinansierad verksamhet att godta de e-legitima- tioner som ingår i auktorisationssystemen (se avsnitt 7.13). Till dessa system ska det även, enligt den nyligen lämnade propositionen om auk-

141Konkurrensverket, Konkurrensbegränsande offentlig säljverksamhet. Så fungerar reglerna i kon- kurrenslagen, juli 2019.

142Konkurrensverkets rapport, Offentligt privat, Konkurrens i kristider, Analys i korthet, (Rapport 2023:5), s. 8.

206

SOU 2023:61Utredningens överväganden och förslag

torisationssystem, vara möjligt för privata utförare av offentligfinan- sierad verksamhet att ansluta sig. 143

I systemen erbjuds alla anslutna e-legitimationer på samma villkor, varför underprissättning, diskriminering eller uteslutning från strate- giska nyttigheter i stor utsträckning undviks. Någon risk för att den statliga e-legitimationen kommer att få en så dominerande ställning på marknaden att det blir fråga om en situation med otillbörlig kon- kurrens framstår därmed inte som överhängande. Genom möjligheten att använda den statliga e-legitimationen för id-växling kan potentiellt kostnaderna för privata aktörer, och därmed även barriärerna för in- träde på marknaden, sänkas. Något som kan leda till ökad konkurrens mellan privata utfärdare. Det kan dock finnas anledning för den ut- färdande myndigheten att skapa rutiner för att följa upp utvecklingen i takt med att den statliga e-legitimationer blir mer etablerad.

7.10.4Åtgärder för att säkerställa konkurrensneutralitet

Utredningens bedömning: För att säkerställa konkurrens på lika villkor bör den utfärdande myndigheten vidta åtgärder för att sepa- rera verksamheten med att tillhandahålla en statlig e-legitimation från annan verksamhet.

Skälen för utredningens bedömning

Enligt Konkurrensverket är det vanligt förekommande att privata aktörer upplever att statliga myndigheter agerar utanför sitt uppdrag. För att skapa så lika förutsättningar som möjligt bör därför som redan framgått konkurrensneutralitet eftersträvas. Åtgärder som kan vidtas för att åstadkomma konkurrensneutralitet är enligt Konkurrensverket att den offentliga säljverksamheten separeras organisatoriskt från annan verksamhet, att särredovisning sker och att verksamheten bedrivs på affärsmässig grund. Genom sådana åtgärder minskar risken för kors- subventionering och otillbörligt gynnande av den egna affärsverksam- heten.144

143Prop. 2023/24:6 s. 31 ff.

144Konkurrensverket, Offentligt privat, Konkurrens i kristider, Analys i korthet (Rapport 2023:5), s. 13. (I rapporten anges att Konkurrensverket uppmanar offentliga aktörer att anta en policy som föreskriver att deras säljverksamheter ska agera så konkurrensneutralt som möjligt).

207

Utredningens överväganden och förslag

SOU 2023:61

Av våra direktiv framgår att Digg ska utfärda och tillhandahålla den statliga e-legitimationen. Det är också Digg som för närvarande beslutar vilka krav som ska uppfyllas för att en e-legitimationsutfärdare ska få ingå i valfrihetssystemen.145 Vidare är det Digg som fattar beslut om e-legitimationsutfärdare uppfyller kraven för kvalitetsmärket Svensk e-legitimation. Digg kommer således i båda dessa avseenden att pröva sin egen verksamhet mot krav som myndigheten själv satt upp.

Digg uppmärksammar ifrågavarande rollkonflikter i sin rapport och redovisar där att myndigheten bl.a. avser att motverka dem genom orga- nisatoriska åtgärder. 146 Enligt vår bedömning krävs det emellertid mer än organisatoriska åtgärder för att säkerställa långsiktig konkurrens- neutralitet när riskerna för sammanblandning är så betydande. Se mer om problematiken kring Diggs dubbla roller i avsnitt 7.6.3 och 7.6.4.

7.10.5Regler om statsstöd

Utredningens bedömning: Verksamheten med att tillhandahålla en statlig e-legitimation aktualiserar inte reglerna om statsstöd.

Skälen för utredningens bedömning

I sin rapport angav Digg att stadsstödsfrågor kopplade till den statliga e-legitimationen borde utredas vidare i ett nästa steg.147

Med statsstöd avses att det offentliga stödjer en ekonomisk verk- samhet med offentliga medel och det resulterar i att mottagaren får en fördel, som påverkar konkurrensen och handeln mellan EU:s med- lemsstater, gentemot andra aktörer på marknaden. Med det offentliga avses staten, kommuner eller regioner.

EU:s statsstödsregler finns i artiklarna 107–109 i fördraget om Euro- peiska unionens funktionssätt. Vidare finns bestämmelser om tillämp- ningen av statsstödsreglerna i lagen (2013:388) om tillämpning av Europeiska unionens statsstödsregler samt i de lagar och förordningar

145Digg föreslås också utses som tillhandahållande myndighet för ett kommande auktorisations- system, se prop. 2023/24:6 s. 23.

146Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 61 ff.

147A.a. s. 96.

208

SOU 2023:61

Utredningens överväganden och förslag

som svenska myndigheter tillämpar vid sin stödgivning (s.k. stöd- ordningar).

Statsstödsreglerna finns för att skydda konkurrensen på EU:s inre marknad. Statsstöd kan, rätt utformat, ge företag inom EU förutsätt- ningar att konkurrera på lika villkor och bidra till en hållbar utveckling, säkerställa infrastruktur, välfärd och konkurrenskraftiga företag.148

Den statsstödsrättsliga definitionen av ett företag motsvarar i stort den som gäller enligt konkurrenslagen. All verksamhet, oavsett om den är vinstdrivande eller inte, som går ut på att erbjuda varor och tjänster på en marknad utgör en ekonomisk verksamhet och är således att betrakta som ett företag. Det innebär att en verksamhet som bedrivs av en myndighet i egen regi kan betraktas som ett företag enligt stats- stödsreglerna.149

Verksamheten med att tillhandahålla en statlig e-legitimation skulle i och för sig kunna omfattas av företagsbegreppet. Det är emellertid inte fråga om en verksamhet som kan påverka konkurrensen och han- deln mellan EU:s medlemsstater. Vår bedömning är därför att reglerna om statsstöd inte blir tillämpliga till följd av våra förslag.

7.11Behandling av personuppgifter

7.11.1Dataskyddsförordningen är tillämplig

Utredningens bedömning: Dataskyddsförordningen är tillämplig vid den personuppgiftsbehandling som sker vid tillhandahållande av en statlig e-legitimation. Även dataskyddslagen och förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid personuppgiftsbehandlingen.

148www.upphandlingsmyndigheten.se/statsstod/statsstod-oversikt/ (hämtad 2023-10-02).

149www.upphandlingsmyndigheten.se/statsstod/vad-ar-statsstod/kriterier/foretagskriteriet/ (hämtad 2023-10-02).

209

Utredningens överväganden och förslag

SOU 2023:61

Skälen för utredningens bedömning

Inledning och kort om gällande bestämmelser för personuppgiftsbehandling

Bestämmelser som reglerar personuppgiftsbehandling finns i Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd dataskyddsförordningen. Förordningen är direkt tillämplig i varje medlemsstat, men både förutsätter och tillåter att det i vissa fall finns nationella bestämmelser som kompletterar eller utgör undantag från förordningens regler. I Sverige finns sådana bestämmelser i lag (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen) och förordning (2018:219) med kom- pletterande bestämmelser till EU:s dataskyddsförordning (komplet- teringsförordningen).

Ett av dataskyddsförordningens syften är att skydda enskildas grundläggande rättigheter och friheter, särskilt rätten till skydd för per- sonuppgifter. Rätten till skydd för privatlivet framgår också av arti- kel 8 i den Europeiska konventionen om skydd för de mänskliga rättig- heterna och grundläggande friheterna samt av artikel 7 i EU:s stadga om de grundläggande rättigheterna. I artikel 8 i stadgan anges även att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Vidare framgår av 2 kap. 6 § andra stycket regeringsformen att var och en gentemot det allmänna skyddas mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhåll- anden.

Personuppgifter kommer att behandlas hos den identitetskontrollerande och den utfärdande myndigheten

En förutsättning för att dataskyddsförordningen ska vara tillämplig är att personuppgifter behandlas. Med personuppgifter avses varje upp- lysning som avser en identifierad eller identifierbar fysisk person som är i livet. Avgörande är om den personuppgiftsansvarige eller någon annan kan knyta den aktuella uppgiften, ensamt eller i kombination

210

SOU 2023:61

Utredningens överväganden och förslag

med andra uppgifter, till en individ. Vidare krävs att personuppgifterna behandlas och med det avses exempelvis insamling, registrering, lagring, bearbetning, utlämnande genom överföring, spridning eller radering.150 Vid grundidentifieringen och ansökan kommer den identitetskon- trollerande myndigheten att på ett automatiserat sätt behandla person- uppgifter som finns i de handlingar som sökanden presenterar. Hand- lingarna innehåller regelmässigt namn, personnummer eller annan unik identifierare och kan också innehålla biometriska uppgifter som an- siktsbilder och i vissa fall fingeravtryck. Utöver jämförelser med dessa handlingar kommer kontroller mot folkbokföringsdatabasen att be- höva genomföras. Vidare kommer den identitetskontrollerade myndig- heten att ta en ansiktsbild av sökanden och dennes fingeravtryck samt föra in ansiktsbilden i den utfärdande myndighetens register. Den iden- titetskontrollerande myndigheten kommer även att dela uppgifter med

den utfärdande myndigheten.

Den utfärdande myndigheten kommer att ta emot personuppgifter från den identitetskontrollerande myndigheten. Därutöver kommer den utfärdande myndigheten inom ramen för ansökningsförfarandet att på ett automatiserat sätt behandla personuppgifter såsom person- nummer, samordningsnummer, namn och adressuppgifter samt föra en databas över innehavare av den statliga e-legitimationen. Vidare kan det uppstå behov av att inhämta uppgifter från Skatteverkets system för distribution av folkbokföringsuppgifter (Navet).

Vid användningen av den statliga e-legitimationen kommer den ut- färdande myndigheten också att lämna ut personuppgifter till förlitande parter i syfte att intyga att en viss identitet är kopplad till e-legiti- mationen samt att e-legitimationen är giltig och i bruk. Det är vid den behandlingen fråga om uppgifter som finns lagrade i bäraren av den statliga e-legitimationen. Om fråga uppkommer om felaktig använd- ning kan kontroller i dessa avseenden liksom sådana med kopplingar till utfärdandeprocessen behöva utföras i efterhand.

150Se artikel 4.1 och 4.2 i dataskyddsförordningen samt skäl 26 och 27 till dataskyddsförord- ningen.

211

Utredningens överväganden och förslag

SOU 2023:61

7.11.2Personuppgiftsansvariga myndigheter

Utredningens bedömning: Den identitetskontrollerande myndig- heten är personuppgiftsansvarig för den personuppgiftsbehandling som sker i samband med grundidentifieringen. För den behandling som sker vid ansökan är den identitetskontrollerande myndig- heten personuppgiftsbiträde åt den utfärdande myndigheten.

Den utfärdande myndigheten är personuppgiftsansvarig för den personuppgiftsbehandling som sker i samband med utfärdandet och tillhandahållandet av den statliga e-legitimationen.

Utredningens förslag: Personuppgiftsansvaret för respektive myn- dighet ska framgå av bestämmelser i den föreslagna lagen om elek- tronisk identifiering.

Skälen för utredningens bedömningar och förslag

För bedömningen av integritetsriskerna kan rollfördelningen mellan de aktörer som kan komma att hantera personuppgifter kopplade till den statliga e-legitimationen vara relevant. I det sammanhanget har det betydelse vem som är personuppgiftsansvarig, om det föreligger gemensamt personuppgiftsansvar eller om behandling av personupp- gifter sker genom ett personuppgiftsbiträde.

En personuppgiftsansvarig är enligt artikel 4.7 i dataskyddsför- ordningen en fysisk eller juridisk person, offentlig myndighet, insti- tution eller annat organ som ensamt eller tillsammans med andra be- stämmer ändamålen och medlen för behandlingen av personuppgifter. En personuppgiftsansvarig fastställer behandlingsändamålet och be- handlingssättet, dvs. varför och hur en behandling ska utföras. Den personuppgiftsansvarige måste besluta angående både ändamål och be- handlingssätt. Det är den personuppgiftsansvarige som har ansvaret för att behandlingen av personuppgifter följer dataskyddsförordningen. Vidare ska denne lämna information till de registrerade, föra ett register över behandlingar, vidta lämpliga säkerhetsåtgärder, anmäla person- uppgiftsincidenter till tillsynsmyndigheten och utse dataskyddsombud. Det är till den personuppgiftsansvarige som de registrerade ska vända sig om de exempelvis vill begära rättelse eller radering av personupp- gifter.

212

SOU 2023:61

Utredningens överväganden och förslag

Av artikel 26 framgår att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt person- uppgiftsansvar föreligger inte om de personuppgiftsansvariga har olika ändamål för behandlingen även om de gemensamt bestämt vilka ända- mål var och en har.

Ett personuppgiftsbiträde är enligt artikel 4.8 i dataskyddsförord- ningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personupp- giftsansvariges räkning. Personuppgiftsbiträdet får bara behandla per- sonuppgifter enligt instruktioner från den personuppgiftsansvarige. Den personuppgiftsansvarige och personuppgiftsbiträdet ska reglera hanteringen dem emellan genom ett avtal.

Digg gjorde i sin rapport bedömningen att Digg, i egenskap av utfärdande myndighet, är personuppgiftsansvarig för den behandling som sker vid utfärdandet och tillhandahållandet av den statliga e-legiti- mationen. Vidare att den identitetskontrollerande myndigheten dels är personuppgiftsansvarig för den personuppgiftsbehandling som sker i samband med grundidentifieringen, dels personuppgiftsbiträde åt Digg för den personuppgiftsbehandling som i övrigt sker för Diggs räkning vid ansökan och utlämnande av e-legitimationen.151

Vi ansluter oss till Diggs bedömning och konstaterar att en upp- delning av ansvaret för personuppgiftsbehandlingen blir nödvändig vid en ordning där grundidentifieringen respektive utfärdandet hanteras av olika myndigheter.

Myndigheterna kommer att ha olika ändamål för sin behandling och precis som Digg anförde i sin rapport kommer den identitetskontroll- erande myndigheten inte ha något eget inflytande över de personupp- gifter som lämnas av sökanden i ansökningshandlingarna. På samma sätt ska inte heller Digg ha något eget inflytande över hur den iden- titetskontrollerande myndigheten utför själva grundidentifieringen. Den identitetskontrollerande myndigheten ska inte heller använda de uppgifter som samlas in vid grundidentifieringen för att registrera vem som innehar en statlig e-legitimation, utan endast meddela den utfärdande myndigheten om identiteten är styrkt eller inte. Det blir därför inte fråga om något gemensamt personuppgiftsansvar för de båda myndigheterna.

151Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas, s. 66 ff.

213

Utredningens överväganden och förslag

SOU 2023:61

7.11.3Centrala bestämmelser om personuppgiftsbehandling ska införas i lagen om elektronisk identifiering

Utredningens förslag: Centrala bestämmelser om personuppgifts- behandling för att tillhandahålla en statlig e-legitimation ska finnas i den nya lagen om elektronisk identifiering.

Bestämmelserna om personuppgiftsbehandling i den nya lagen ska komplettera dataskyddsförordningen och dataskyddslagen.

Skälen för utredningens förslag

Vi har i avsnitt 7.1 redovisat våra överväganden avseende att centrala bestämmelser om personuppgiftsansvar och behandling av person- uppgifter i verksamheten med att tillhandahålla en statlig e-legitima- tion bör regleras i lag.

Dataskyddsförordningen är direkt tillämplig vid den personupp- giftsbehandling som sker vid tillhandahållande av en statlig e-legitima- tion. Bestämmelserna i förordningen utgör en del av den svenska rätts- ordningen och kompletteras av dataskyddslagen som är subsidiär till andra lagar och förordningar. Genom de bestämmelser vi föreslår införs kompletterande bestämmelser till förordningen och dataskyddslagen vilket ska tydliggöras genom att en särskild bestämmelse med sådan innebörd införs i den nya lagen om elektronisk identifiering.

7.11.4Ändamålen med personuppgiftsbehandlingen ska framgå av lagen

Utredningens förslag: Personuppgifter ska få behandlas av den identitetskontrollerande myndigheten om

det är nödvändigt för att kunna styrka en sökandes identitet vid ansökan om statlig e-legitimation och

säkerställa att en viss fysisk person kan kopplas till en viss stat- lig e-legitimation.

Personuppgifter ska få behandlas av den utfärdande myndigheten om

214

SOU 2023:61

Utredningens överväganden och förslag

det är nödvändigt för att handlägga och administrera ärenden om statlig e-legitimation, inklusive att föra en databas över stat- liga e-legitimationer,

det är nödvändigt för att möjliggöra en säker användning.

Personuppgifter som har samlats in för ovan angivna ändamål ska även få behandlas

om det är nödvändigt för att tillhandahålla information som be- hövs i Polismyndighetens verksamhet för att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet,

om det är nödvändigt för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning, och

för andra ändamål, under förutsättning att uppgifterna inte be- handlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Ändamålsbestämmelserna ska även omfatta sådan behandling av personuppgifter i verksamheten med att tillhandahålla en statlig e-legitimation som sker utanför databasen över statliga e-legitima- tioner.

Skälen för utredningens förslag

De övergripande ändamålen med personuppgiftsbehandlingen

En grundläggande princip är att personuppgifter endast får samlas in för särskilda uttryckligt angivna ändamål som också ska vara berättigade ur ett integritetsskyddsperspektiv.

Det övergripande ändamålet med den identitetskontrollerande myn- dighetens personuppgiftsbehandling i samband med grundidentifier- ingen är främst att på ett rättssäkert sätt identifiera den som ansöker om en statlig e-legitimation och säkerställa att en viss fysisk person kan kopplas till en viss statlig e-legitimation. Den behandling som sker för den utfärdande myndighetens räkning vid ansökan och utlämnande

215

Utredningens överväganden och förslag

SOU 2023:61

av e-legitimationen sker för att myndigheten ska kunna behandla sök- andens ansökan och sedan lämna ut e-legitimationen.

Det övergripande ändamålet med den utfärdande myndighetens per- sonuppgiftsbehandling är att kunna handlägga och administrera ären- den om statlig e-legitimation samt att verksamheten med att utfärda den statliga e-legitimationen ska fungera på ett säkert och effektivt sätt.

Enligt vår bedömning är risken för att de insamlade uppgifterna kommer att behandlas för andra ändamål än de tillåtna, eller sådana sekundära ändamål som vi anser befogade, begränsad. Syftet med be- handlingen är inte heller att kartlägga eller övervaka den enskilde.

Särskilda ändamål ska författningsregleras

Såväl den identitetskontrollerande som den utfärdande myndigheten måste behandla personuppgifter inom ramen för verksamheten med att tillhandahålla en statlig e-legitimation. Som redovisats ovan får insamling av personuppgifter ske för särskilda, uttryckligen angivna samt berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Denna princip om ändamålsbegräns- ning i dataskyddsförordningen är central i regelverket om dataskydd.

Bestämmelserna i dataskyddsförordningen medger att särskilda ändamålsbestämmelser införs i nationell rätt (artikel 6.4 och 23.2 a). Med hänsyn till den stora mängd personuppgifter som en databas över statliga e-legitimationer kan förväntas innehålla anser vi att det finns skäl att författningsreglera särskilda ändamålsbestämmelser. Vilka specifika uppgifter som samlas in och hur de hanteras bör dock framgå av de materiella författningsbestämmelserna. Det är därför inte nöd- vändigt att i en ändamålsbestämmelse räkna upp samtliga de åtgärder som medför personuppgiftsbehandling. Bestämmelserna måste dock uppnå ett visst mått av konkretion för att fylla en funktion.

Enligt vår bedömning ska den bestämmelse som reglerar den iden- titetskontrollerande myndighetens primära ändamål utformas utifrån att ändamålet med personuppgiftsbehandlingen är att styrka en sökan- des identitet vid en ansökan om statlig e-legitimation och säkerställa att en viss fysisk person kan kopplas till en viss statlig e-legitimation. Med en sådan formulering ryms enligt vår uppfattning samtliga de åtgärder som behöver genomföras vid grundidentifieringen, men ges också en yttre ram för behandlingen.

216

SOU 2023:61

Utredningens överväganden och förslag

För den utfärdande myndigheten bör bestämmelsen utformas på så sätt att personuppgifter får behandlas om det är nödvändigt för att handlägga och administrera ärenden om statlig e-legitimation, inklusive att föra en databas över statliga e-legitimationer och för att möjlig- göra en säker användning. Det senare innefattar exempelvis att säker- ställa att inte flera statliga e-legitimationer utfärdas till samma person, att e-legitimationen ska kunna användas i förlitande tjänster för elek- tronisk identifiering och elektroniskt undertecknande samt att mot- verka att den statliga e-legitimationen används vid identitetsrelaterad brottslighet. Formuleringen innehåller en sådan generell skrivning som har ansetts tillräcklig exempelvis i lagen om identitetskort för folk- bokförda (se 12 §), men tydliggör också att behandlingen även avser den fortsatta användningen av e-legitimationen.

Enligt vår bedömning finns det inte skäl att tillåta insamling av per- sonuppgifter för några andra ändamål än dessa. Bestämmelsen kommer därmed innehålla en uttömmande reglering av de ändamål som den iden- titetskontrollerande respektive den utfärdande myndigheten får samla in personuppgifter för med stöd av lagen.

Det finns skäl att reglera personuppgiftsbehandling för vissa sekundära ändamål

Inom ramen för Polismyndighetens huvuduppgift att förebygga, för- hindra och upptäcka brottslig verksamhet, utreda och lagföra brott samt upprätthålla allmän ordning och säkerhet kan det finnas behov av att få tillgång till personuppgifter som har samlats in i verksam- heten med att tillhandahålla en statlig e-legitimation.

I departementspromemorian Passdatalag – en ny lag som komplet- terar EU:s dataskyddsförordning redovisades att Polismyndigheten i sin brottsbekämpande verksamhet inte sällan använder personuppgifter som samlats in i passverksamheten. Som exempel angavs att fotogra- fier i passregistret används vid fotokonfrontationer och spanings- arbete. Enligt promemorian fanns det goda skäl för att Polismyndig- heten ska få använda sig av personuppgifter från passverksamheten för att bekämpa och lagföra brott samt upprätthålla allmän ordning och säkerhet. Utan en specifik ändamålsbestämmelse skulle det enligt promemorian kunna uppfattas som oklart om behandling för sådana ändamål är förenlig med det ändamål som personuppgifterna har sam- lats in för, dvs. handläggning av passärenden. Vid bedömningen av

217

Utredningens överväganden och förslag

SOU 2023:61

integritetsriskerna med en sådan behandling anfördes bl.a. att brotts- bekämpning, lagföring och upprätthållande av allmän ordning och säkerhet är viktiga samhällsintressen som erkänns även i dataskydds- förordningen. Vidare angavs att brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område, vars uttryckliga syften är att skydda fysiska per- soners grundläggande rättigheter och friheter, kommer att gälla om personuppgifter från passverksamheten behandlas för de angivna ända- målen. Behandlingen skulle alltså omfattas av lagarnas bestämmelser om bl.a. rättslig grund, ändamål, lagringstider och överföring till tredje- land och stå under tillsyn av dåvarande Datainspektionen samt Säker- hets- och integritetsskyddsnämnden. Enligt promemorian skulle en behandling för brottsbekämpande ändamål därmed omfattas av ett väl utvecklat regelverk till skydd för den enskildes personliga integritet. Slutligen anfördes att personuppgifterna i passverksamheten ofta är av mindre integritetskänsligt slag och att flertalet personuppgifter samlats in direkt från den enskilde. Motsvarande bedömningar gjordes även av 2017-års ID-kortsutredning.152

Vi anser att det – på samma sätt som inom passverksamheten – finns goda skäl för att Polismyndigheten för vissa ändamål ska få använda sig av personuppgifter från verksamheten med en statlig e-legitimation. De skäl som promemorian angav för att behovet överväger integri- tetsriskerna gäller enligt vår bedömning även för uppgifter som inhäm- tas i verksamheten med att tillhandahålla en statlig e-legitimation. En bestämmelse om rätt till personuppgiftsbehandling för angivet ändamål bör således föras in i lagen.

Personuppgifter som har samlats in i verksamheten med att till- handahålla en statlig e-legitimation kan vidare behöva behandlas för att vara möjliga att lämna ut till andra myndigheter eller till enskilda. I ovan angiven promemoria konstaterades att en allmän förutsättning för ut- lämnande av uppgifter till andra får antas vara att uppgiftslämnandet sker i överensstämmelse med lag eller förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Vidare framhölls att det vid införande av sådana bestämmelser får förutsättas att en avvägning mellan intresset av utlämnande och intresset av att skydda enskilda personers integritet har genomförts, samt att man vid den avvägningen har funnit att uppgiften ska eller får lämnas ut. Vi ansluter

152Se Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning (Ds 2019:5), s. 113 ff. och jfr Ett säkert statligt ID-kort-med e-legitimation, (SOU 2019:14), s. 265 f.

218

SOU 2023:61

Utredningens överväganden och förslag

oss till den bedömningen och anser att det finns skäl att införa en be- stämmelse som tillåter att personuppgifter behandlas för sådana ända- mål. En sådan bestämmelse föreslogs också för passverksamhetens del i nämnd promemoria och av 2017-års ID-kortsutredning.153

Slutligen bör uppgifter kunna behandlas för andra sekundära ända- mål under förutsättning att behandlingen inte är oförenlig med de ursprungliga ändamålen. Även om en sådan bestämmelse medför att det inte på förhand går att avgöra exakt vilka uppgifter som kan komma i fråga gör vi bedömningen att den föreslagna bestämmelsen är moti- verad ur integritetssynpunkt. Vi bedömer, vilket också anfördes i pro- memorian om en ny passdatalag, att finalitetsprincipen i sig utgör en garant för att behandlingen inte får vara oförenlig med ursprungs- ändamålet. De personuppgifter som kommer att behandlas är inte heller av sådan integritetskänslig karaktär att föreslagen behandling framstår som utesluten. Motsvarande bestämmelse finns dessutom i lagen om identitetskort för folkbokförda och i flertalet registerförfattningar (exempelvis 7 § domstolsdatalagen [2015:728] och 4 § kriminalvårds- datalagen [2018:1235]) samt föreslogs införas i en ny passdatalag och av 2017 års ID-kortsutredning.154

7.11.5Lagen ska innehålla bestämmelser om databasen över statliga e-legitimationer

Utredningens förslag: Den utfärdande myndighetens rätt att föra en databas över statliga e-legitimationer ska framgå av lagen.

Databasen över statliga e-legitimationer ska få innehålla upp- gifter om personer som är eller har varit parter i ett ärende om ut- färdande av en statlig e-legitimation.

Nödvändiga preciseringar om exempelvis innehållet i databasen ska lämpligen framgå av den förordning som kompletterar den nya lagen om elektronisk identifiering.

153Se Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning (Ds 2019:5), s. 116 samt där gjorda hänvisningar och Ett säkert statligt ID-kort-med e-legitimation (SOU 2019:14), s. 262 f.

154Ett säkert statligt ID-kort-med e-legitimation (SOU 2019:14) , s. 263 och Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning (Ds 2019:5), s. 118 f.

219

Utredningens överväganden och förslag

SOU 2023:61

Skälen för utredningens förslag

Tidigare författningsförslag har varit olika omfattande

För att det ska vara möjligt att på ett ändamålsenligt sätt tillhandahålla en statlig e-legitimation krävs att den utfärdande myndigheten ges rätt att föra en databas över statliga e-legitimationer. Tidigare författnings- förslag har i fråga om vilka uppgifter registret ska få innehålla varit olika omfattande, sannolikt delvis eftersom de avsett olika identitetshand- lingar.

Digg föreslog i sin rapport att det av en ny förordning skulle framgå att myndigheten ges rätt att föra ett register över innehavare av e-legiti- mationer. I registret skulle enligt Digg åtminstone följande uppgifter behandlas:

uppgifter om sökandens namn, personnummer, dag för utfärdande och giltighetstid,

uppgift om e-legitimationens unika identifierare (en hash155 av den unika kryptografiska nyckeln) och serienummer, status för e-legiti- mationen såsom om den inte är aktiverad, om den är spärrad eller utgången,

aktiveringskod (endast tillfällig uppgift156) och hash av innehavarens personliga kod,157

kontaktuppgifter till innehavaren av e-legitimationen i form av e-post, bostadsadress och telefonnummer.158

2017 års ID-kortsutredning föreslog ett nytt id-kortsregister som skulle innehålla uppgifter om sökanden, utfärdade identitetskort och uppgifter från handläggningen av ärenden om identitetskort. Registret skulle enligt utredningen innehålla uppgift om den information som finns i den statliga e-legitimationen samt om att e-legitimationen har förlustanmälts eller återkallats och vad som har utgjort skälet därtill.

155Benämningen på svenska är kondensat.

156Koden skapas 24 timmar efter att kortet överlämnas till innehavaren, om aktivering sker enligt alternativ 3 i den process som redovisas i avsnitt 7.4.2. Aktiveringskoden är således i praktiken användarens första personliga kod fram tills dess att kortet aktiverats. Se vidare Myndigheten för digital förvaltning, En säker och tillgänglig statlig e-legitimation – Slutredovisning av reger- ingsuppdrag att föreslå hur en statlig e-legitimation kan utformas, bilaga 1 s. 4 f.

157Ibid. Endast det underlag för nollkunskapsbevis som behövs för att verifiera den personliga koden ska lagas.

158A.a. s. 74.

220

SOU 2023:61

Utredningens överväganden och förslag

De närmare bestämmelserna om innehållet i registret skulle enligt ut- redningen framgå av förordning. Enligt förordningen skulle, utöver kopia av ansiktsbild och biometriska uppgifter därur som angavs i lagen, följande uppgifter registreras:

sökandens fullständiga namn, personnummer eller, i förekommande fall, samordningsnummer, födelsetid, svenskt medborgarskap, be- hövliga kontaktuppgifter, längd och kön,

dag för utfärdande av identitetskortet, kortnummer och giltig- hetstid,

sökandens namnteckning eller, i förekommande fall, anteckning om anledningen till att namnteckning saknas,

hur sökanden har styrkt sin identitet,

intygsgivare, bud, vittne och företrädare för inrättning för vård eller omsorg i förekommande fall,

den information som finns i den e-legitimation som finns i lag- ringsmediet på identitetskortet,

beslut om att ansökan har avslagits, skälen för detta beslut och upp- gift om att ansökan har återkallats, och

att identitetskortet eller e-legitimationen har förlustanmälts eller återkallats och vad som har utgjort skäl för beslutet om återkallelse.159

I promemorian om en ny passdatalag föreslogs att passregistret, för att kunna fylla sitt ändamål, skulle få innehålla uppgifter om personer som har eller har haft pass. De uppgifter som skulle få behandlas var följande:

namn,

person- eller samordningsnummer,

medborgarskap,

födelseort,

kön,

längd,

159Ett säkert statligt ID-kort-med e-legitimation, (SOU 2019:14), s. 55, 271 f. och 348 f.

221

Utredningens överväganden och förslag

SOU 2023:61

ansiktsbilder som tagits vid ansökan och biometriska uppgifter som tagits fram ur ansiktsbilderna,

namnteckning som har lämnats vid passansökningar,

uppgifter i handlingar som har kommit in eller upprättats,

uppgifter om pass och handläggningen av ärenden om pass.160

Integritetsriskerna motiverar lagreglering

En databas över statliga e-legitimationer kommer, i vart fall på sikt, san- nolikt att omfatta en stor del av befolkningen. Databasen ska enligt våra förslag, till skillnad från Diggs, även innehålla ansiktsbilder och bio- metriska uppgifter som tillsammans med andra personuppgifter kan medföra integritetsrisker. Detta är omständigheter som motiverar att bestämmelser om att en databas ska föras och hur känsliga personupp- gifter får behandlas ska regleras i lag och inte förordning. Reglering om databasens innehåll i övrigt bör dock lämpligen framgå av förordning (se även avsnitt 7.1).

Databasen ska få innehålla uppgifter om personer som har eller har haft en statlig e-legitimation

En databas över statliga e-legitimationer behöver – även utan koppling till en annan fysisk id-handling på det sätt som utgjorde en förut- sättning för 2017 års ID-kortsutredning – innehålla i stort sett samma uppgifter som då föreslogs. Vi anser därför att ytterligare uppgifter, utöver de som Digg föreslagit, behöver kunna tillföras databasen över statliga e-legitimationer.

Databasen bör få innehålla uppgifter om personer som har eller har haft en statlig e-legitimation, liksom uppgifter om personer som har ansökt men nekats, för att kunna fylla sitt ändamål.161 En sådan möjlighet får anses utgöra en viktig säkerhetsfunktion för att kunna säkerställa att inga oriktigt utfärdade e-legitimationer förekommer. Som en integritetshöjande och lagringsminimerande åtgärd ska regler om gallringsfrister gälla (se avsnitt 7.11.8).

160Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning (Ds 2019:5), s. 130 f.

161Jfr Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning (Ds 2019:5), s. 130 för motsvarande uppfattning såvitt avser registerföring i förslag till ny passdatalag.

222

SOU 2023:61

Utredningens överväganden och förslag

Enligt vår bedömning ska följande uppgifter få behandlas i en data- bas över statliga e-legitimationer:

uppgifter om sökandens namn, person- eller samordningsnummer för personer med styrkt identitet, dag för utfärdande och giltig- hetstid,

uppgift om e-legitimationens unika identifierare (ett kondensat av den unika kryptografiska nyckeln) och serienummer,

aktiveringskod (tillfällig uppgift) och kondensat av innehavarens personliga kod

kontaktuppgifter till innehavaren av e-legitimationen i form av e-post, bostadsadress och telefonnummer,

uppgift om hur sökanden styrkt sin identitet,

ansiktsbilder som tagits vid ansökan och de biometriska uppgifter som tagits fram ur dessa,

status för e-legitimationen såsom om den inte är aktiverad, om den är spärrad, återkallad eller utgången,

beslut om att en ansökan har avslagits och skälen för beslutet,

beslut om att e-legitimationen återkallats och skälen för beslutet,

uppgifter i handlingar som kommit in eller upprättats.

Enligt vår bedömning finns det inte skäl att registrera medborgarskap eller längd och kön på sökanden eftersom dessa uppgifter inte är direkt relevanta vid utfärdande av en statlig e-legitimation. Inte heller behövs uppgift om kortnummer eller namnteckningar eftersom kortnumret ersätts av serienummer och namnteckningen inte ska framgå av bäraren. Vi ser inte heller att uppgifterna är nödvändiga för att kunna säkerställa identiteten vid utfärdande av e-legitimationen. Vidare kommer det enligt våra förslag inte vara möjligt att ansöka om en statlig e-legiti- mation utan personlig inställelse, varför något behov av att registrera intygsgivare, bud, vittne eller företrädare för inrättning för vård eller omsorg inte föreligger.

Vid ansökan om en statlig e-legitimation får uppgifter om bl.a. namn och personnummer hämtas ur Skatteverkets folkbokförings- databas (se avsnitt 7.4.2). För att tydliggöra att databasen över den statliga e-legitimationen får tillföras sådana uppgifter bör en bestäm-

223

Utredningens överväganden och förslag

SOU 2023:61

melse om detta föras in i den nya förordningen om elektronisk iden- tifiering (jfr 12 § förordningen [2015:904] om identitetskort för folk- bokförda i Sverige).

7.11.6Förslagen är förenliga med de regelverk som styr behandlingen av personuppgifter

Utredningens bedömning: Den behandling av personuppgifter som förslagen ger upphov till är förenlig med EU:s dataskydds- förordning, dataskyddslagen och de föreskrifter som har meddelas med stöd av den lagen.

Skälen för utredningens bedömning

Utgångspunkter för behandlingen av personuppgifter

I artikel 5.1 dataskyddsförordningen stadgas vissa principer som måste uppfyllas vid varje behandling av personuppgifter. Enligt artikeln ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i för- hållande till den registrerade. Vidare anges att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna ska vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt samt måste behandlas på ett sätt som säkerställer lämplig säkerhet.

Principerna i artikel 5.1 är – precis som de i artikel 6.1 som be- skrivs nedan – grundläggande och kumulativa. Enligt artikel 5.2 är det den personuppgiftsansvariga som ansvarar för att principerna för personuppgiftsbehandlingen följs.

Om känsliga personuppgifter behandlas gäller att behandlingen ska kunna hänföras till något av undantagen i artikel 9.2 från det förbud som gäller enligt artikel 9.1. Behandling av person- eller samordnings- nummer utan samtycke får endast ske när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifi- ering eller något annat beaktansvärt skäl (artikel 87 och 3 kap. 10 § dataskyddslagen).

224

SOU 2023:61

Utredningens överväganden och förslag

Dataskyddsförordningens krav på laglighet och rättslig grund för behandling av personuppgifter

För att personuppgiftsbehandling ska få ske i verksamheten med att till- handahålla en statlig e-legitimation krävs som utgångspunkt att be- handlingen har stöd i ett eller flera av de villkor som framgår av artikel 6.1 dataskyddsförordningen. Uppräkningen i artikel 6.1 är ut- tömmande. Om inget av de villkor som anges där är tillämpligt är be- handlingen inte laglig och får inte utföras eftersom det då saknas rättslig grund för hanteringen.

Den rättsliga grunden för personuppgiftsbehandlingen vid tillhanda- hållandet av den statliga e-legitimationen finns i första hand i arti- kel 6.1 e, dvs. behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning. När det gäller behandling som sker med stöd av arti- kel 6.1 e måste grunden för behandlingen enligt artikel 6.3 i dataskydds- förordningen fastställas i nationell rätt eller EU-rätt. I svensk rätt kan den rättsliga grunden för behandlingen fastställas i lag eller annan för- fattning. Det är den rättsliga förpliktelsen, uppgiften av allmänt intresse eller rätten att utöva myndighet som ska fastställas i den rättsliga grun- den, och inte själva personuppgiftsbehandlingen. 162

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Ändamålet med varje enskild behandling måste vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det sam- band som måste finnas mellan behandlingen och den fastställda upp- giften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige men i vissa fall även kan vara lagstiftaren. Detta krav på samband fram- går även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.163

En uppgift av allmänt intresse kan enligt 2 kap. 2 § dataskyddslagen följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. För myndighets- utövning gäller att denna ska ha stöd i lag eller annan författning.

162Prop. 2017/18:105 s. 46 ff.

163A.a. s. 56.

225

Utredningens överväganden och förslag

SOU 2023:61

Att myndigheter kan sköta sina uppdrag på ett korrekt, rättssäkert och effektivt sätt är av allmänt intresse.164 Myndigheters uppdrag och åligganden framgår av författningar och regeringsbeslut, antagna i en- lighet med regeringsformens bestämmelser om normgivningskompe- tens. De åtgärder som en myndighet vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund.

Uppgiften att tillhandahålla en statlig e-legitimation är alltså av all- mänt intresse. Det är nödvändigt för såväl den identitetskontrollerande som den utfärdande myndigheten att behandla personuppgifter efter- som det är av avgörande betydelse att det går att säkerställa att en viss fysisk person kan kopplas till en viss e-legitimation innan en e-legitima- tion utfärdas. Vidare är det nödvändigt att den utfärdande myndigheten för en databas dels för att kunna säkerställa att inte flera statliga e-legi- timationer utfärdas till en och samma person, dels för att administrera en återkallelse- och spärrfunktion. Eftersom vårt förslag innebär att verksamheten med att tillhandahålla en statlig e-legitimation regleras i lag kommer den rättsliga grunden framgå av nationell rätt.

7.11.7Behandling av integritetskänsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter ska få behandlas

iverksamheten med att tillhandahålla en statlig e-legitimation om det är absolut nödvändigt för ändamålet med behandlingen.

Ansiktsbilden och de biometriska uppgifter som kan tas fram ur denna får lagras i databasen över statliga e-legitimationer. Dessa uppgifter ska som utgångspunkt inte vara tillåtna att använda som sökbegrepp utom vid ansökan om en statlig e-legitimation och då endast för att kontrollera om sökandens ansiktsbild finns i data- basen.

Fingeravtrycken och de biometriska uppgifter som tas fram ur dessa får inte behandlas i databasen över statliga e-legitimationer och kan därmed inte användas som sökbegrepp. De får, liksom ansiktsbilden, behandlas i samband med grundidentifieringen och då lagras tillfälligt i ärendehanteringssystemet. När e-legitimatio- nen lämnas ut eller då ansökan återkallas eller avslås ska finger- avtrycken och de biometriska uppgifterna som tagits fram ur dessa omedelbart förstöras.

164Prop. 2017/18:105 s. 85.

226

SOU 2023:61

Utredningens överväganden och förslag

Utredningens bedömning: Den behandling av känsliga person- uppgifter som föreslås vid grundidentifieringen, utfärdandet, till- handahållandet och användningen i såväl den identitetskontrolle- randes som den utfärdande myndighetens verksamhet är tillåten enligt artikel 9.2 g i dataskyddsförordningen.

Skälen för utredningens förslag och bedömning

Känsliga personuppgifter kommer att behandlas

I verksamheten med att tillhandahålla en statlig e-legitimation kommer vissa känsliga personuppgifter att behandlas. Med känsliga personupp- gifter avses bl.a. personuppgifter som avslöjar ras eller etniskt ursprung och biometriska uppgifter för att entydigt identifiera en fysisk person. Biometriska uppgifter är enligt definitionen i artikel 4.14 i dataskydds- förordningen personuppgifter som erhållits genom en särskild tek- nisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identi- fieringen av denna person.

Vid grundidentifieringen kommer den identitetskontrollerande myndigheten behandla uppgifter om namn tillsammans med ansikts- bilder och fingeravtryck som – även om uppgifterna sedda för sig inte omfattas av dataskyddsförordningens definition – utgör känsliga personuppgifter. Vidare kommer biometriska uppgifter ur ansikts- bilderna och fingeravtrycken att samlas in och analyseras i syfte att identifiera sökanden och säkerställa att den identitetshandling som pre- senteras är äkta. Den identitetskontrollerande myndigheten behöver därtill behandla andra integritetskänsliga uppgifter såsom person- och samordningsnummer vid grundidentifieringen och – när uppgifterna förs in i den utfärdande myndighetens system – vid ansökan och ut- lämnande av den statliga e-legitimationen.

Den utfärdande myndigheten kommer att behandla person- och samordningsnummer, uppgifter om lagöverträdelser samt föra en data- bas över innehavare av statlig e-legitimation. Vi anser dessutom, till skillnad från Digg, att vid grundidentifieringen inhämtade ansiktsbilder och fingeravtryck samt dess biometriska uppgifter ska lagras i bäraren av e-legitimationen och att en kopia av ansiktsbilden och dess bio- metriska uppgifter ska sparas i databasen över statliga e-legitimationer.

227

Utredningens överväganden och förslag

SOU 2023:61

Uppgifterna i bäraren och databasen ska kunna användas i jämförande syfte vid en ny ansökan om statlig e-legitimation.

Vid användningen av den statliga e-legitimationen ska ansiktsbilden och fingeravtrycken som finns lagrade i bäraren också kunna användas av förlitande parter för biometrisk autentisering i syfte att säkerställa att det är personen som den statliga e-legitimationen utfärdades till som också använder den. Det är i sådant fall fråga om personuppgifts- behandling som sker i de förlitande parternas verksamhet och inte i verksamheten med att tillhandahålla en statlig e-legitimation.

Behandlingen av känsliga personuppgifter är tillåten

Behandling av känsliga personuppgifter är enligt huvudregeln i arti- kel 9.1 i dataskyddsförordningen förbjuden om inte något av undan- tagen i artikel 9.2 a–j är tillämpligt. Uppräkningen i artikel 9.2 är uttömmande men det är möjligt att införa mer specifika bestämmel- ser i fråga om behandling av känsliga personuppgifter som sker med stöd av artikel 6.1 c och e. Frågan är därmed om något av de undantag som räknas upp i artikel 9.2 är tillämpligt för den behandling som vi föreslår.

Enligt artikel 9.2 g får känsliga uppgifter behandlas om en behand- ling är nödvändig av hänsyn till ett viktigt allmänt intresse, på grund- val av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den registrer- ades grundläggande rättigheter och intressen.

Artikel 9.2 g kompletteras av bestämmelsen i 3 kap. 3 § dataskydds- lagen. Av den bestämmelsen framgår att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskydds- förordning om (1) uppgifterna har lämnats till myndigheten och be- handlingen krävs enligt lag, (2) om behandlingen är nödvändig för handläggningen av ett ärende eller (3) i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte inne- bär ett otillbörligt intrång i den registrerades personliga integritet.

Som tidigare konstaterats är verksamheten med att tillhandahålla en statlig e-legitimation ett viktigt allmänt intresse. När personupp- gifter behandlas inom verksamheten är följaktligen behandlingen nöd-

228

SOU 2023:61

Utredningens överväganden och förslag

vändig med hänsyn till ett viktigt allmänt intresse och behandling av känsliga personuppgifter är därmed också tillåten. En fö