Vem kan man lita på?

Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen

Vem kan man lita på?

Enkel och ändamålsenlig användning

av betrodda tjänster i den offentliga förvaltningen

Delbetänkande av Utredningen om betrodda tjänster

Stockholm 2021

SOU 2021:9

InnehållSOU 2021:9

4.2.2Vilka juridiska funktioner fyller en underskrift? .... 52

4.3.1Användning av stämplar inom den offentliga

4.4.1Användning av validering inom den offentliga

4.5Elektroniska tjänster för rekommenderade leveranser

samt den offentliga förvaltningens informationsutbyten .... 62

4.5.1Vad är elektroniska tjänster för

4.5.2Den offentliga förvaltningens

6

4.6.1Vad är certifikat för autentisering

4.7Användning av certifikat för autentisering

4.8.2Användning av tidsstämplingstjänster inom

5.4.1Förordningens struktur och tolkningen

5.4.7Kort om förordningens systematik avseende

7

5.6.1Kvalificerade och icke kvalificerade

5.6.2Gemensamma säkerhetskrav och krav

6.1Drivkrafterna bakom det ökade behovet av betrodda

6.2Kartläggning av behov och utmaningar vid användning

6.4Den offentliga förvaltningen ser inget tydligt behov

8

6.5.1Osäkerhet rörande om elektroniska

6.5.5Problem avseende vad som ska bevaras

7 Utrymmet för nationell reglering av betrodda tjänster .. 129

7.1Behovet av att utreda utrymmet för nationell reglering

7.4Tidigare bedömningar om kompletterande

7.5Kan medlemsstaterna vidta nationella åtgärder avseende

7.6Vilka åtgärder rörande icke kvalificerade

8.1.2Autentisering av webbplatser, elektroniska

8.1.3Ökad användning kräver även ökad digital

9

8.2När bör den offentliga förvaltningen använda avancerade

8.2.3Användning av kvalificerade respektive avancerade elektroniska underskrifter i andra

8.2.4Användning av kvalificerade respektive

avancerade elektroniska underskrifter i Sverige .. 145

8.2.5Behoven ska avgöra när avancerade eller kvalificerade elektroniska underskrifter

8.3.3Icke kvalificerade tillhandahållare ska kunna

8.3.4Icke kvalificerade betrodda tjänster som får

8.3.5En ansökan om att föras upp på tillitsförteckningen ska handläggas

8.3.6Kriterier och krav för icke kvalificerade

8.4.2Myndigheten för digital förvaltning ska

8.4.4Tillitsförteckningen, format och erkännande

10

8.5.3Bevarande av elektroniskt undertecknade

8.5.4Metoder för att bevara elektroniskt undertecknade och stämplade handlingars

8.6Ett utökat och reformerat stöd till den offentliga

8.6.3En utökad roll för Myndigheten för digital

8.7En ökad användning av elektroniska stämplar bör

8.9Utformning av författningsbestämmelser rörande

8.9.3Tidigare utredningsarbete avseende elektroniska underskrifters användning

11

9.4Risker kopplade till samhällets beroende av betrodda

12

10.9.6Ett utökat och reformerat stöd till den offentliga

11.1Ikraftträdande av ändringar i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning

12.1Förslaget till lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om

13

SOU 2021:9Vissa förkortningar

17

Kartläggning av den offentliga förvaltningens behov

Vår kartläggning visar att den offentliga förvaltningen i dagsläget upplever störst behov av att på olika sätt kunna använda och hantera elektroniska underskrifter. Många aktörer upplever osäkerhet kring vissa eller alla steg i hanteringen av elektroniska underskrifter. Det kan gälla allt från bedömningen av om underskrifter krävs till bevar- andet av elektroniskt undertecknade handlingar. Vi bedömer att det finns ett stort behov av ett mer samlat och utvecklat stöd för förvalt- ningen att tillgå för dessa frågor. Vidare visar kartläggningen att det finns ett behov av stöd som gör det enklare att kunna validera elek- troniska underskrifter, framför allt sådana som lämnas in till förvalt- ningen. Det finns bl.a. en osäkerhet kring om en betrodd tjänst som har skapat en underskrift, eller tillhandahållaren av tjänsten, lever upp till de krav som ställs i eIDAS-förordningen.

Elektroniska stämplar, som en form av utställarverifikation, an- vänds endast i begränsad omfattning i förvaltningen. Eftersom flera aktörer har framfört att de ser ett behov av att i framtiden kunna använda elektroniska stämplar samt gett uttryck för utmaningar där elektroniska stämplar hade varit en lämplig lösning finns det ett behov av stöd rörande användningen även av dessa tjänster.

När det gäller elektroniska tidsstämplingar, certifikat för autenti- sering av webbplatser och elektroniska tjänster för rekommenderade leveranser har kartläggningen inte visat att förvaltningen i dagsläget upplever något behov av dessa specifika tjänster som föranleder för- slag från vår sida.

När bör den offentliga förvaltningen använda avancerade eller kvalificerade elektroniska underskrifter?

Utredningen ska enligt direktiven tydliggöra när avancerade respek- tive kvalificerade elektroniska underskrifter bör användas i den offent- liga förvaltningen. I Sverige finns det en utbredd användning av avan- cerade elektroniska underskrifter medan kvalificerade elektroniska underskrifter endast används i begränsad omfattning. I dagsläget finns det vidare ett relativt stort antal tillhandahållare av betrodda tjänster i Sverige. Det finns emellertid endast två tillhandahållare som är kvali- ficerade.

20

Vi ser inget självändamål med en ökad användning av kvalificerade elektroniska underskrifter. Enligt vår uppfattning är det inte heller lämpligt att på en generell nivå slå fast när avancerade respektive kvalificerade elektroniska underskrifter bör användas. Detta kräver en kartläggning av vilka behov en specifik verksamhet har och vilka krav som externa regelverk uppställer. Utifrån en sådan kartläggning går det sedan att bedöma om elektroniska underskrifter bör användas samt eventuell nivå för sådana underskrifter. Utan att ha full inblick i behoven går det inte att göra en fullgod bedömning om det är mest lämpligt att använda avancerade eller kvalificerade elektroniska under- skrifter. Det är således behoven i de enskilda processerna där under- skrifterna ska användas som måste avgöra. Detta gäller både när aktö- rer i den offentliga förvaltningen fattar besluten på egen hand och vid utformning av författningsbestämmelser som reglerar användning av elektroniska underskrifter. Även om vi inte anser det lämpligt att fast- ställa när respektive nivå ska användas kan vi utifrån vår kartläggning dra vissa slutsatser om faktorer som bör påverka bedömningen. Exempelvis talar den interoperabilitet som en kvalificerad elektronisk underskrift har för att använda denna typ av underskrift i gränsöver- skridande sammanhang.

En utökad tillitsförteckning

Vår kartläggning visar att många aktörer inom förvaltningen upp- lever det som svårt att bedöma om vissa betrodda tjänster lever upp till kraven i eIDAS-förordningen. Detta påverkar även möjligheterna att anskaffa tjänster för skapande av avancerade elektroniska under- skrifter och förutsättningarna för att validera dessa underskrifter.

Varje medlemsstat i EU ska enligt eIDAS-förordningen upprätta, underhålla och offentliggöra en förteckning över kvalificerade till- handahållare av betrodda tjänster och de kvalificerade betrodda tjäns- ter som dessa aktörer tillhandahåller. Det främsta användningsområ- det för förteckningarna är att de möjliggör kontroll och validering av kvalificerade betrodda tjänster. Det finns emellertid inga hinder mot att även föra upp icke kvalificerade tillhandahållare och icke kvalificerade betrodda tjänster på förteckningen. En europeisk infra- struktur finns alltså redan på plats som möjliggör de kontroller som förvaltningen efterfrågar. Vi anser därför att en utökning av den för-

21

teckning som redan existerar i Sverige är det bästa sättet att tillgo- dose behoven och även det lämpligaste alternativet sett till de EU- rättsliga aspekterna då området i stor utsträckning är harmoniserat och att nationella lösningar kan uppställa hinder mot den fria rör- ligheten. En utökning av förteckningen hade även höjt säkerheten och stärkt tilliten vid användning av betrodda tjänster.

Vi föreslår att förteckningen ska benämnas tillitsförteckning och att tjänster som skapar och validerar avancerade elektroniska under- skrifter eller stämplar ska få föras upp på förteckningen. Tillhanda- hållare eller tjänster förs upp på förteckningen efter en ansöknings- process som innefattar en kontroll av om de uppfyller vissa kriterier och tekniska krav.

En nationell valideringstjänst

Vårt kartläggningsarbete har visat att många aktörer inom förvalt- ningen upplever svårigheter med valideringen av elektroniska under- skrifter. Många har även framfört behov av en förvaltningsgemensam valideringstjänst som stödjer validering av både utländska och svenska elektroniska underskrifter. Vi bedömer att en nationell validerings- tjänst för validering av elektroniska underskrifter och stämplar som både inkommer till och skapas av offentliga aktörer hade starkt bidra- git till att lösa denna problematik. Det finns även stora samordnings- vinster för förvaltningen med en sådan lösning.

Vi föreslår att Myndigheten för digital förvaltning (DIGG) ska tillhandahålla en sådan valideringstjänst och att den ska benämnas nationell valideringstjänst. Det ska finnas både en central version och en möjlighet att ha lokalt installerade versioner av tjänsten. Tjänsten ska vara tillgänglig för statliga myndigheter, kommuner, regioner, offentligt styrda organ och privata aktörer som yrkesmässigt bedri- ver verksamhet som till någon del är offentligt finansierad inom vissa utpekade områden. Även enskilda mottagare av elektroniskt under- tecknade och stämplade handlingar som skapats av ovan nämnda aktö- rer ska kunna använda tjänsten för att validera sådana handlingar.

22

Stöd för att underlätta bevarande av elektroniskt undertecknade och stämplade handlingar

Bevarande av elektroniskt undertecknade och stämplade handlingar är ett område där vår kartläggning visat att det finns stora behov av tekniska lösningar och andra stöd avseende de bedömningar som be- höver göras. Den grundläggande problematiken med bevarande av elektroniskt undertecknade och stämplade handlingar är att dessa har en tidsbegränsad giltighet som grundar sig både i tillgång till nödvän- diga kontrollkällor samt krypteringsnyckelns livslängd. En komplet- terande åtgärd som en myndighet kan företa är att stämpla handlingen och dess valideringsdata med myndighetens elektroniska stämpel. Eftersom dessa stämplar bygger på samma teknologi som den under- tecknade eller stämplade handling som stämplas kommer man med denna lösning dock inte helt runt den grundläggande problematiken med tidsbegränsad giltighet.

En lösning som tagits fram för att hantera denna problematik är s.k. valideringsintyg. Valideringsintyg är en metod som underlättar möjligheten att skapa en härledningsbar kedja av bevis som kan på- visa den ursprungliga giltigheten av en underskrift eller stämpel vars kontrollfunktion inte längre kan valideras som giltig. Metoden bevarar alltså inte eller förlänger livslängden av den ursprungliga kontroll- funktionen, men bestyrker den och alla andra bestyrkanden.

Vi bedömer att användandet av valideringsintyg potentiellt kan medföra sådana fördelar för den offentliga förvaltningen i stort att frågan bör utredas vidare. Vi föreslår därför att Riksarkivet och DIGG får i uppdrag att utreda förutsättningarna för att använda validerings- intyg som metod för att bevara undertecknade och stämplade hand- lingars giltighet. Myndigheterna ska även utreda förutsättningarna för att valideringsintygen skapas inom ramen för den nationella valider- ingstjänsten.

Utöver den tekniska lösning som valideringsintyg kan innebära har kartläggningen även visat att det finns ett stort behov av ökat stöd rörande bedömningar kring bevarande och gallring av elektro- niskt undertecknade eller stämplade handlingar. Vi föreslår därför att Riksarkivet ska få i uppdrag att utreda förutsättningarna för att införa generella bestämmelser och/eller annat stöd avseende bevar- ande av elektroniskt undertecknade eller stämplade handlingar.

23

Ett utökat och reformerat stöd till den offentliga förvaltningen

I dagsläget finns det inget samlat stöd eller en för förvaltningen ge- mensam vägledning rörande införande och hantering av betrodda tjänster. Det finns ett stort behov av sådana stöd och det stöd som finns i dag behöver utökas. I dagsläget är ansvaret för att ge stöd även delat mellan Post- och telestyrelsen (PTS) och DIGG. Vi föreslår att PTS inte längre ska ha i uppgift att ge stöd och information till myn- digheter avseende betrodda tjänster. PTS ska dock fortsatt ge sådant stöd till enskilda. DIGG ska i stället enligt vårt förslag få som upp- gift att främja användningen av betrodda tjänster. Myndigheten ska även få i uppdrag att ta fram en vägledning för den offentliga förvalt- ningens användning av betrodda tjänster.

En ökad användning av elektroniska stämplar bör främjas

Den elektroniska stämpelns juridiska funktioner är desamma som den elektroniska underskriftens. Den avgörande skillnaden mellan underskriften och stämpeln är endast att det är en utställarverifika- tion från en enskild individ respektive en juridisk person. Vi ser att kunskapsnivån rörande vilka användningsområden som elektroniska stämplar kan ha inom den offentliga förvaltningen behöver ökas och

vibedömer att en ökad användning av elektroniska stämplar särskilt bör främjas av DIGG.

Ökad medverkan i standardiseringsarbete

Standarder spelar en stor roll inom området betrodda tjänster. Det standardiseringsarbete i Europa som avser eller påverkar tillhanda- hållare av betrodda tjänster genomförs i dag av ett antal aktörer och då främst europeiska tillhandahållare av betrodda tjänster, deras underleverantörer, fristående experter och experter från olika med- lemsstaters myndigheter. Från Sverige deltar bl.a. ett fåtal tillhanda- hållare av betrodda tjänster och experter. Svenska myndigheter bidrar och deltar i dag endast i begränsad omfattning i arbetet. Vi anser att Sveriges påverkan på standardiseringsarbetet kan förbättras.

24

Vår uppfattning är vidare att det är angeläget att Sverige tar en mer aktiv roll i det relevanta standardiseringsarbetet.

Både DIGG och PTS har i sina instruktioner uppdrag som avser standardisering. Vår bedömning är att det standardiseringsarbete som bedrivs avseende betrodda tjänster kan samordnas i större utsträck- ning än vad som sker i dag. Vi bedömer också att det finns behov av ett mer strategiskt arbete och att resurser tillsätts i sådan utsträck- ning att Sverige kan påverka utifrån sina prioriteringar på området. Mot den bakgrunden föreslår vi att regeringen ger DIGG och PTS i uppdrag att, i samråd med relevanta aktörer på området, ta fram en handlingsplan för hur Sverige ska kunna påverka standardiserings- arbetet i större utsträckning än i dag.

Utformning av författningsbestämmelser rörande underskrifter

Författningsbestämmelser rörande användning av elektroniska under- skrifter är inte enhetligt utformade. I syfte att uppnå en mer enhetlig och långsiktigt utformad lagstiftning anser vi att bestämmelser som tillåter användning av elektroniska underskrifter som huvudregel bör vara teknikneutralt utformade. Angivande av vilken nivå av elektro- nisk underskrift som krävs bör endast anges i lag om det bedöms nöd- vändigt för att säkerställa en tillräckligt hög nivå av informations- säkerhet för det sammanhang där underskriften ska förekomma.

Teknikneutraliteten bör inte heller nödvändigtvis avgränsas till underskrifter. Teknikneutrala bestämmelser bör även enligt vår mening utformas så att de möjliggör användning av elektroniska stämplar när det är lämpligt.

25

På tillitsförteckningen får även föras upp

1. icke kvalificerade betrodda tjänster som tillhandahålls av kvali- ficerade tillhandahållare av be- trodda tjänster, och

2. icke kvalificerade tillhanda- hållare av betrodda tjänster och betrodda tjänster som de tillhanda- håller.

8 §

Beslut om att föra upp sådana tillhandahållare eller tjänster som avses i 7 § andra stycket på tillits- förteckningen fattas av tillsynsmyn- digheten.

Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om

1. kriterier och tekniska krav som icke kvalificerade tillhanda- hållare av betrodda tjänster ska uppfylla för att föras upp på tillits- förteckningen,

2. vilka icke kvalificerade be- trodda tjänster som får föras upp på tillitsförteckningen samt krite- rier och tekniska krav för dessa, och

3. ansökningsförfarandet.

Om en icke kvalificerad till- handahållare av betrodda tjänster eller en icke kvalificerad betrodd tjänst som förts upp på tillitsför- teckningen inte längre uppfyller de kriterier och tekniska krav som meddelats med stöd av andra stycket får tillsynsmyndigheten be-

28

sluta om att avföra tillhandahål- laren eller tjänsten från tillitsför- teckningen.

Om en icke kvalificerad till- handahållare av betrodda tjänster begär det ska denne eller en be- trodd tjänst denne tillhandahåller avföras från tillitsförteckningen. Detsamma gäller för en kvalificerad tillhandahållare av betrodda tjäns- ter som vill att en icke kvalificerad betrodd tjänst som denne tillhanda- håller ska avföras från tillitsförteck- ningen.

Tillsynsmyndigheten får be- stämma att beslut enligt tredje stycket ska gälla omedelbart.

Nationell valideringstjänst

9 §

Den myndighet som regeringen bestämmer ska tillhandahålla en tjänst som validerar elektroniska underskrifter och stämplar (natio- nell valideringstjänst).

Den nationella valideringstjäns- ten får användas av

1.offentliga aktörer, och

2.enskilda som validerar elek- troniska underskrifter och elektro- niska stämplar som skapats av offentliga aktörer.

Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om den natio- nella valideringstjänstens funktio- nalitet, tekniska specifikationer

29

samt villkor och avgifter för an- vändning av tjänsten.

10 §

Med en offentlig aktör avses

1. en statlig eller kommunal myndighet,

2. en beslutande församling i en kommun eller region,

3. ett sådant offentligt styrt organ som avses i andra stycket,

4. en sammanslutning som in- rättats särskilt för att tillgodose behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär, och som består av

a) en eller flera myndigheter eller församlingar som anges i 1 och 2, eller

b) ett eller flera organ enligt andra stycket,

5. en privat aktör som yrkes- mässigt bedriver verksamhet som till någon del är offentligt finan- sierad och som

a) aktören bedriver i egenskap av enskild huvudman inom skol- väsendet eller huvudman för en så- dan internationell skola som avses i 24 kap. skollagen (2010:800),

b) utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125),

c) bedrivs enligt socialtjänst- lagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med sär-

30

skilda bestämmelser om vård av unga eller lagen (1993:387) om stöd och service till vissa funk- tionshindrade, eller

d)utgör personlig assistans som utförs med assistansersättning en- ligt 51 kap. socialförsäkringsbalken, och

6. en enskild utbildningsanord- nare med tillstånd att utfärda exa- mina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har stats- bidrag som finansiering av hög- skoleutbildning på grundnivå eller avancerad nivå eller av utbildning på forskarnivå.

Med ett offentligt styrt organ avses en sådan juridisk person som tillgodoser behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär, och

1. som till största delen är finansierad av staten, en kom- mun, en region eller någon av de offentliga aktörer som avses i första stycket 1–4,

2. vars verksamhet står under kontroll av staten, en kommun, en region eller någon av de offentliga aktörer som avses i första stycket 1–4, eller

3. i vars styrelse eller mot- svarande ledningsorgan mer än halva antalet ledamöter är utsedda av staten, en kommun, en region eller någon av de offentliga aktörer som avses i första stycket 1–4.

31

11 §

Personuppgifter får behandlas i den nationella valideringstjänsten av den myndighet som regeringen enligt 9 § första stycket bestämmer ska tillhandahålla tjänsten om det är nödvändigt för att

1. validera en elektronisk under- skrift eller elektronisk stämpel, eller 2. säkerställa efterlevnaden av villkor för användning av tjäns- ten, om föreskrifter om sådana villkor har meddelats med stöd av

denna lag.

Denna lag träder i kraft den 1 januari 2022.

32

Nationell valideringstjänst

6 §

Myndigheten för digital förvalt- ning ska tillhandahålla den natio- nella valideringstjänst som avses i 9 § första stycket lagen med kom- pletterande bestämmelser till EU:s förordning om elektronisk identi- fiering.

7 §

Den nationella validerings- tjänsten ska validera elektroniska underskrifter och elektroniska stämplar som är skapade av be- trodda tjänster som finns på den tillitsförteckning som avses i 7 § lagen med kompletterande be- stämmelser till EU:s förordning om elektronisk identifiering samt på förteckningar i andra länder som upprättats i enlighet med arti- kel 22 i EU:s förordning om elek- tronisk identifiering.

Myndigheten för digital förvalt- ning får meddela föreskrifter om den nationella valideringstjänstens funktionalitet, tekniska specifika- tioner och villkor för användning av tjänsten.

Denna förordning träder i kraft den 1 januari 2022.

34

1.3Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen

Härigenom föreskrivs att 4 § i förordningen (2007:951) med instruktion för Post- och telestyrelsen ska ha följande lydelse.

4 §1

Post- och telestyrelsen har till uppgift att

1.främja tillgången till säkra och effektiva elektroniska kommu- nikationer, inbegripet att se till att samhällsomfattande tjänster finns tillgängliga, och att främja tillgången till ett brett urval av elektroniska kommunikationstjänster,

2.främja utbyggnaden av och följa tillgången till bredband och mobiltäckning i alla delar av landet, inbegripet att skapa förutsätt- ningar för samverkan mellan myndigheter som kan bidra till utbygg- naden av bredband,

3.svara för att möjligheterna till radiokommunikation och andra användningar av radiovågor utnyttjas effektivt,

4.svara för att nummer ur nationella nummerplaner utnyttjas på ett effektivt sätt,

5.främja en effektiv konkurrens,

6.övervaka pris- och tjänsteutvecklingen,

7.bedriva informationsverksamhet riktad till konsumenter,

8.följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation och uppkomsten av eventuella miljö- och hälsorisker,

9.pröva frågor om tillstånd och skyldigheter, fastställa och ana- lysera marknader samt utöva tillsyn och pröva tvister enligt lagen (2003:389) om elektronisk kommunikation,

10.meddela föreskrifter enligt förordningen (2003:396) om elek- tronisk kommunikation,

11.upprätta och offentliggöra planer för frekvensfördelning till ledning för radioanvändningen samt offentliggöra information av allmänt intresse om rättigheter, villkor, förfaranden och avgifter som rör radiospektrumanvändningen,

1Senaste lydelse 2019:1061.

35

12.tillhandahålla information om frekvensanvändning till Euro- peiska radiokommunikationskontorets frekvensinformationssystem (EFIS),

13.vara marknadskontrollmyndighet enligt radioutrustningslagen (2016:392),

15.följa utvecklingen när det gäller toppdomäner med geogra- fiska namn som har anknytning till Sverige,

16.vara tillsynsmyndighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter en- ligt förordningen (2006:25) om nationella toppdomäner för Sverige på internet,

17.verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgärder, och verka för ökad krishanteringsförmåga,

18.verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer,

19.lämna råd och stöd till myndigheter, kommuner och regioner och till företag, organisationer och andra enskilda i frågor om nät- säkerhet,

20.vara tvistlösnings- och tillsynsmyndighet enligt lagen (2016:534) om åtgärder för utbyggnad av bredbandsnät och ansvara för informationstjänsten för utbyggnad av bredbandsnät enligt samma lag, och

21.vara tillsynsmyndighet enligt lagen (2018:1174) om informa- tionssäkerhet för samhällsviktiga och digitala tjänster.

Denna förordning träder i kraft den 1 januari 2022.

36

1.4Förslag till förordning om ändring i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning

Härigenom föreskrivs att 3 och 18 §§ i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning ska ha följande lydelse.

3 §

Myndigheten ska

1.ansvara för den offentliga förvaltningens tillgång till infra- struktur och tjänster för elektronisk identifiering och underskrift,

3.tillhandahålla och administrera valfrihetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering, samt

den inre marknaden och om upp- hävande av direktiv 1993/93/EG

37

(eIDAS-förordningen) samt rätts- akter som har meddelats med stöd av förordningen.

18 §

Myndigheten får ta ut avgifter av de myndigheter som har an- slutit sig till valfrihetssystem för säker elektronisk identifiering enligt 3 § 3 och för utbildnings- verksamhet.

Denna förordning träder i kraft den 1 januari 2022.

38

Utredningens direktiv finns bifogade till delbetänkandet i bilaga 1 och 2.

2.2Utredningens arbete

Utredningsarbetet påbörjades i slutet av mars 2020. Under utrednings- tiden har vi hittills haft fem sammanträden med expertgruppen. Till följd av den rådande pandemin har alla utredningens möten genom- förts digitalt.

Utredningens uppdrag har delvis varit att genomföra en kartlägg- ning av den offentliga förvaltningens behov av åtgärder för ökad och standardiserad användning av betrodda tjänster. En del av kartlägg- ningsarbetet har bestått av att ta del av befintligt skriftligt underlag som berör den aktuella frågeställningen. En central källa i detta arbete har varit den s.k. E-legitimationsenkäten som Myndigheten för digi- tal förvaltning (DIGG), Sveriges Kommuner och Regioner (SKR) samt Regeringskansliet genomförde 2019. DIGG och SKR har släppt varsin rapport baserat på resultatet av enkäten.1 Relevanta behov och utmaningar har också lyfts fram i tidigare utredningars arbete, bl.a. av Utredningen om effektiv styrning av nationella digitala tjänster och Digitaliseringsrättsutredningen.2 Vi har därtill mottagit skriftliga underlag från både myndigheter och tillhandahållare av betrodda tjänster.

För att komplettera det skriftliga underlaget har vi vidare genom- fört ett 40-tal möten och samtal med aktörer i offentlig förvaltning samt med tillhandahållare av betrodda tjänster.

I syfte att inhämta synpunkter från en bredare grupp av myndig- heter samt tillhandahållare av betrodda tjänster har vi även genomfört sammanlagt fem digitala möten med öppen anmälan. De första mötena hölls i maj 2020 och hade ingen deltagarbegränsning. Vid mötet för representanter för offentlig förvaltning medverkade ca 220 deltagare och vid mötet med tillhandahållare av betrodda tjänster medverkade ca 40 deltagare. I oktober 2020 arrangerades tre möten där deltagar- antalet begränsades för att skapa bättre förutsättningar för fördjupade diskussioner. Två möten arrangerades med deltagare från offentlig för-

1DIGG, E-legitimering inom den offentliga förvaltningen – Enkätundersökning 2019 (dnr 2019-389) och SKR, Rapport enkät e-legitimationer – 2019 Kommuner och Regioner, mars 2020.

2Se reboot – omstart för den digitala förvaltningen (SOU 2017:114) och Juridik som stöd för förvaltningens digitalisering (SOU 2018:25).

40

valtning med ca 20 deltagare per möte och ett möte med deltagare från tillhandahållare av betrodda tjänster, även det med ca 20 deltagare.

Vi har enligt våra direktiv haft att beakta relevant arbete som be- drivs inom Regeringskansliet och utredningsväsendet samt särskilt beakta det arbete som bedrivs hos DIGG. Vi har under utrednings- tiden haft flera möten och kontakter med DIGG. Vi har även haft kontakt med flera statliga utredningar, däribland Cybersäkerhets- utredningen (Fö 2019:01), Ställföreträdarutredningen (Ju 2019:03), It-driftsutredningen (I 2019:03) och Utredningen om elektroniska underskrifter på regeringsbeslut (Ju 2020:13).

Vi har vidare enligt våra direktiv haft att undersöka och översikt- ligt redovisa hur de frågor som uppdraget omfattar hanteras i andra länder som är jämförbara med Sverige. I detta syfte har vi utöver en granskning av tillgängligt material på internet haft kontakter med myndighetsrepresentanter i Danmark, Norge, Nederländerna, Italien och Österrike. Vi har även tagit del av den undersökning avseende betrodda tjänster i de nordiska och baltiska länderna som under 2020 genomförts av Nordic-Baltic co-operation on digital identities (NOBID).3

Vi har också presenterat vårt uppdrag för olika nätverk och arbets- grupper samt haft kontakt med företrädare för Europeiska kommis- sionen.

Visst underlag till konsekvensutredningen har tagits fram av Analysys Mason AB på vårt uppdrag.

2.3Utredningens prioriteringar

I relation till den begränsade tid vi haft till förfogande har vi valt att prioritera frågor som enligt vår bedömning kan åstadkomma störst nytta för den offentliga förvaltningen som helhet. Vi har därtill valt att särskilt lyfta fram informationssäkerhetsfrågor då det av utred- ningens direktiv framgår att syftet med utredningen är att höja säker- heten och stärka tilliten när betrodda tjänster används.

3Hinsberg, Hille m.fl., Study on Nordic-Baltic Trust Services, 2020.

41

2.4Delbetänkandets disposition

I kapitel 3 definieras några för delbetänkandet centrala begrepp och termer.

I kapitel 4 redogörs för på vilka sätt betrodda tjänster eller deras motsvarigheter inom pappersbaserade processer används, eller kan användas, i den offentliga förvaltningen

I kapitel 5 redogörs översiktligt för teknik, bestämmelser och stan- darder avseende betrodda tjänster.

Kapitel 6 innehåller en redovisning av de behov och utmaningar kopplade till användning av dessa tjänster som vår kartläggning har visat.

I kapitel 7 redogör vi för det nationella utrymmet att reglera be- trodda tjänster.

I kapitel 8 presenteras utredningens förslag.

Kapitel 9 behandlar de potentiella risker för den offentliga förvalt- ningen och samhället i stort som måste beaktas i samband med an- vändning av betrodda tjänster.

I kapitel 10 redogör vi för konsekvenserna av våra förslag.

I kapitel 11 behandlas ikraftträdande och i kapitel 12 finns författ- ningskommentarerna.

42

3.2Certifikat

I eIDAS-förordningen definieras i artikel 3.14 och 3.29 certifikat som ett intyg som kopplar valideringsuppgifter för en elektronisk under- skrift eller en elektronisk stämpel till en fysisk person respektive juridisk person och bekräftar åtminstone namnet eller pseudonymen på den personen. Annorlunda uttryckt kan ett certifikat beskrivas som ett elektroniskt intyg som bl.a. innehåller uppgifter som möjliggör validering av t.ex. en elektronisk underskrift eller elektronisk stämpel. Certifikat är även, vad avser autentisering av webbplatser, ett intyg som gör det möjligt att autentisera en webbplats och koppla webb- platsen till den fysiska eller juridiska person som certifikatet utfär- dats för.

3.3Validering

Validering är ett begrepp som används inom flera discipliner och som innebär någon form av granskning och godkännande av doku- ment, kunskaper eller kravhantering.1 I relation till betrodda tjänster betyder validering enligt artikel 3.41 i eIDAS-förordningen kontroll och bekräftelse av elektroniska underskrifters giltighet. Validering sker emellertid även av elektroniska stämplar. Med validering avses alltså i detta sammanhang en tjänst som kompletterar användningen av elektroniska underskrifter och stämplar och som kontrollerar att t.ex. en elektronisk underskrift eller stämpel är äkta.

3.4Tillhandahållare

Leverantörer av betrodda tjänster benämns i eIDAS-förordningen som tillhandahållare. I artikel 3.19 i förordningen definieras tillhanda- hållare som en fysisk eller juridisk person som tillhandahåller en eller flera betrodda tjänster, antingen i egenskap av kvalificerade eller icke kvalificerade tillhandahållare av betrodda tjänster. För att följa för- ordningens systematik kommer därför termen tillhandahållare att användas i delbetänkandet i stället för det i vardagligt språkbruk mer frekvent förekommande begreppet leverantör.

1Se t.ex. 20 kap. 42 § skollagen (2010:800).

44

3.5Förlitande part

En förlitande part är enligt artikel 3.6 i eIDAS-förordningen en fysisk eller juridisk person som förlitar sig på en elektronisk identifiering eller betrodda tjänster. Med andra ord är den förlitande parten den som exempelvis tar emot en elektroniskt undertecknad handling och som ska kunna förlita sig på att den är undertecknad av den person som handlingen anger.

3.6Underskrift och andra närliggande begrepp

Det finns ett antal begrepp som förekommer i relation till begreppet underskrift som i vissa fall är synonyma och i andra fall inte. Det sätt på vilket begreppen används i olika sammanhang kan ge upphov till både viss förvirring och missförstånd. De begrepp som är vanligast förekommande i dessa sammanhang är – utöver underskrift – signatur, namnteckning, namnunderskrift, egenhändig underskrift/egenhän- digt undertecknande samt urkund. För att tydliggöra vilken innebörd

vianser att de har i dagens kontext samt i delbetänkandet behövs en närmare genomgång av respektive begrepp och i vilka sammanhang de förekommer.

Det finns ingen legaldefinition av begreppet underskrift. I eIDAS- förordningen definieras i artikel 3.10 emellertid en elektronisk under- skrift som uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.

Underskrift är enligt vår mening ett teknikneutralt begrepp och kan likaväl åsyfta en underskrift med penna som en elektronisk underskrift skapad med en underskriftstjänst. Begreppet har dock i lagtext tidigare ansetts utgöra ett s.k. formkrav som medför att det krävs en underskrift på papper (se mer om detta i avsnitt 8.9.3).

I Svenska Akademiens ordlista definieras ordet underskrift som en namnteckning i anslutning till dokument. Namnteckning defini- eras i sin tur som ett personligt sätt att skriva det egna namnet. I Svensk ordbok definieras namnteckning som en persons egenhändigt skrivna namn på det för denne typiska sättet och att namnteckning används för identifiering, särskilt i juridiska sammanhang. Vi anser att be- greppet namnteckning är tydligt sammanlänkat med den fysiska hand- lingen att för hand skriva sitt namn med penna på papper. En namn-

45

teckning kan dock även ske i elektronisk form när den görs med penna på en elektronisk anordning, ett exempel inom offentlig för- valtning när detta är möjligt är i samband med underskrift av ett föreläggande av ordningsbot i närvaro av polisman.2

Egenhändig underskrift eller egenhändigt undertecknade har även en tydlig koppling till den fysiska handlingen att skriva sitt namn.3 I såväl allmänt språkbruk som i tre nu gällande lagar förekommer begreppet namnunderskrift.4 Detta begrepp får likt namnteckning anses kopplat till den fysiska handlingen att teckna sitt namn.

Sammantaget anser vi att begreppen namnteckning, namnunder- skrift och egenhändig underskrift/egenhändigt undertecknade endast bör användas när det är fråga om den fysiska handlingen att teckna sitt namn, vare sig det sker med penna på papper eller med penna på en elektronisk anordning. Det är även med denna innebörd som dessa begrepp används i detta delbetänkande.5

Det tveklöst mest tvetydiga och snåriga begreppet i dessa sam- manhang är begreppet signatur. Signatur definieras i Svenska Akade- miens ordlista antingen som en förkortad namnteckning eller kortare namn som ersätter en journalists egentliga namn alternativt, enligt en något äldre definition, som en påskrift med bruksanvisning på läke- medelsförpackning. I Svensk ordbok framgår att en signatur är en egen- händigt skriven namnteckning eller förkortad namnteckning som särskilt används för att intyga tillförlitlighet eller äkthet hos doku- ment, konstverk eller dylikt. Även i rättsfall har det med begreppet signatur åsyftats en förkortad namnteckning i form av signering med initialer.6

Begreppen signatur och underskrift används dock ofta som syno- nymer. Detta gäller i synnerhet avseende elektroniska underskrifter. Detta har bl.a. sin förklaring i att begreppet förekom i föregångaren till eIDAS-förordningen, EU-direktivet om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG), härefter kallat signatur- direktivet. Direktivet låg till grund för den numera upphävda lagen

2Prop. 2017/18:126 s. 27 ff.

3Se t.ex. RÅ 2002 not 206.

4Lag (1995:1570) om medlemsbanker, bostadsrättslag (1991:614) och Kungl. Maj:ts Cirkulär (1973:874) om Sveriges tillträde till europeiska konventionen den 7 juni 1968 om avskaffande av legalisering av handlingar som utfärdas av diplomatiska eller konsulära tjänstemän.

5Vad gäller egenhändigt undertecknade kan det noteras att en ändring som införts i rätte- gångsbalken den 1 januari 2021 i 33 kap. 1 a § föreskriver att en ansökan som enligt en bestäm- melse i rättegångsbalken ska vara egenhändigt undertecknad får skrivas under med en sådan avancerad elektronisk underskrift som avses i artikel 3 i eIDAS-förordningen.

6Kammarrätten i Stockholms dom den 18 oktober 2002 i mål nr 3099-2002.

46

(2000:832) om kvalificerade elektroniska signaturer och i lagen be- nämndes det som nu kallas för elektroniska underskrifter som elek- troniska signaturer. Begreppet elektronisk signatur förekom innan eIDAS-förordningen trädde i kraft även i ett 20-tal svenska lagar. Vidare är det i den engelska språkversionen av eIDAS-förordningen begreppet ”electronic signature” som används för att benämna en elektronisk underskrift.

I förarbetena till lagen (2016:561) med kompletterande bestäm- melser till EU:s förordning om elektronisk identifiering framfördes att elektronisk signatur i det allmänna språkbruket med tiden kom- mit att ersättas med elektronisk underskrift men att båda begreppen har samma innebörd.7 Något som skiljer begreppen åt är däremot att digital signatur även används som en teknisk term för en metod att säkerställa utställare och integritet i samband med en elektronisk underskrift.8

Vi anser sammanfattningsvis att även om begreppen underskrift och signatur i allmänt språkbruk har samma innebörd bör den syno- nyma användningen av begreppen som i dagsläget förekommer inom den offentliga förvaltningen undvikas och att begreppet elektronisk signatur endast ska användas om det är den tekniska termen som avses eller när hänvisning görs till tidigare gällande bestämmelser där be- greppet förekommer.

Slutligen bör urkund nämnas. En urkund är enligt legaldefinitionen i 14 kap. 1 § andra stycket brottsbalken:

1.en handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse och originalkaraktär,

2.en elektronisk handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt, och

3.ett märke som ställts ut till bevis om en persons identitet eller om en viss rättighet eller prestation och som har originalkaraktär (bevismärke).

Enligt ovan nämnda paragrafs första stycke framgår att den som obe- hörigen, genom att skriva eller på liknande sätt ange en annan per-

7Prop. 2015/16:72 s. 34.

8Se bl.a. Riksarkivet, Framställning och bevarande av elektroniska signaturer (avsnitt 6) (dnr RA 20-2013-1154), 29 maj 2015, s. 5.

47

sons namn eller på annat sätt, framställer en falsk urkund eller ändrar eller fyller ut en äkta urkund döms, om åtgärden innebär fara i bevis- hänseende, för urkundsförfalskning. eSamverkansprogrammet (eSam) har i sin vägledning för införande av e-legitimering och e-underskrif- ter valt att kalla en sådan urkund som framgår av andra punkten ovan för en e-urkund.9 Vad avser att en elektronisk handling ska ha en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt kräver detta enligt förarbetena inte någon särskild teknisk eller administra- tiv lösning. Avgörande är i stället om utställarangivelsen når upp till en viss nivå av tillförlitlighet. Utställarangivelsen ska vidare vara sådan att den typiskt sett förtjänar tilltro och dessutom vara av sådant slag att den typiskt sett faktiskt kan härledas till en viss utställare. Den ska alltså ha en inte obetydlig grad av säkerhet. Det är utställarangi- velsen avseende handlingen i dess lagrade form som ska kunna kon- trolleras. Som exempel lyftes i förarbetena avancerade och kvalifice- rade elektroniska signaturer som uppfyllde de krav som uppställdes i den upphävda lagen om kvalificerade elektroniska signaturer.10

3.7Stämpel och sigill

Stämpel definieras i Svenska Akademiens ordlista som en anordning för märkning av dokument m.m. eller ett avtryck efter stämpel. I ett digitalt sammanhang är det dock inte den tekniska lösning som an- vänds för att förse en handling med en stämpel som aktualiseras. En elektronisk stämpel behöver inte heller nödvändigtvis lämna någon form av synligt avtryck på den handling som stämplats. I artikel 3.25 i eIDAS-förordningen definieras en elektronisk stämpel som upp- gifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa de senares ur- sprung och integritet. I artikel 3.31 definieras anordning för skapande av elektroniska stämplar som en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk stämpel.

Det finns inte många närbesläktade begrepp till stämpel. Ett av dessa är dock sigill. Sigill definieras i Svenska Akademiens ordlista som ett stämpelavtryck (i stelnat material) som anbringas på doku- ment eller annat föremål för att symbolisera viss person eller orga-

9eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018, s. 22.

10Prop. 2012/13:74 s. 70.

48

nisation vilket vanligen och ursprungligen avses intyga att personen etc. står bakom dokumentet eller att försändelsen är orörd.

Det kan noteras att begreppet elektronisk stämpel i den engelska språkversionen av eIDAS-förordningen benämns som ”electronic seal”, vilket översatt betyder elektroniskt sigill. Sett till den elektro- niska stämpelns funktion (se mer om detta i avsnitt 4.3) är det med hänsyn till definitionerna ovan egentligen närmare den språkliga innebörden av ett sigills funktion. Begreppet elektroniskt sigill an- vändes även när kommissionen lämnade sitt ursprungliga förslag till eIDAS-förordningen.11

I den engelska språkversionen av eIDAS-förordningen finns det även en tydligare skiljelinje mellan elektroniska stämplar och elek- troniska tidsstämplingstjänster (se mer om elektroniska tidsstämp- lingstjänster i avsnitt 4.8) då dessa benämns som ”electronic seal” respektive ”electronic time stamp”. Att de svenska begreppen är så pass snarlika har under utredningens kartläggningsarbete av vissa lyfts fram som ett problem då det leder till, eller riskerar att leda till, en sammanblandning av dessa olika typer av betrodda tjänster.

11COM(2012) 238 final av den 4 juni 2012, s. 21.

49

Digitaliseringsrättsutredningen fann att närmast rutinmässiga krav på undertecknande vid pappersförfaranden i vissa fall synes ha upp- ställts av myndigheter utan att det funnits krav i lag eller förordning som anger att det behövs.2 Ett exempel på detta är underskrifter i samband med beslutsfattande där krav på undertecknande inte är vanligen förekommande trots att beslut ofta skrivs under.3 När det gäller inkommande handlingar kan en myndighet enligt 21 § förvalt- ningslagen (2017:900) begära att en handling bekräftas av avsändaren. Det är dock inget krav och formerna för hur bekräftelsen ska göras regleras inte i lagen.4

4.2.2Vilka juridiska funktioner fyller en underskrift?

Underskrifter används i många olika sammanhang. Det är ofta redan av sammanhanget eller av tradition uppenbart i vilka situationer en underskrift förväntas och vilka följdverkningar detta får. Det är inte heller ovanligt att det uttryckligen anges när en underskrift förväntas och vilka effekter som följer av undertecknandet. Utöver det som av sammanhanget är uppenbart i form av att underskriften exempelvis utgör en bekräftelse eller förbindelse reflekterar de flesta nog inte över vilket eller vilka syften en underskrift fyller. Även om de olika funktionerna ibland kallas för olika saker eller sammanfogas brukar en underskrift generellt anses fylla de fem olika juridiska funktioner som presenteras nedan.5

Viljeyttring

En underskrift får anses ge uttryck för en vilja att exempelvis be- kräfta något, åta sig en förpliktelse eller lämna en försäkran om att uppgifterna i en handling är med sanningen överensstämmande. Vilje- funktionen har också en tillitssida. En mottagare kan, utifrån den undertecknade handlingen, anta att denne kan agera på ett visst sätt.6

2Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) s. 461.

3eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018, s. 28

4Prop. 2016/17:180, s. 306 f.

5Se bl.a. Aversten, Daniel, Digitala signaturer och ansvarsproblem, IRI-rapport 1998:2, s. 15, Digitala signaturer – en teknisk och juridisk översikt (Ds 1998:14), s. 134 ff. och eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018, s. 29 f.

6Digitala signaturer – en teknisk och juridisk översikt (Ds 1998:14), s. 135.

52

eSam benämner detta som ”avslutningsfunktionen” som innefattar att innehållet är fullständigt och förenligt med undertecknarens vilja.7

Varning

Nära kopplad till viljeyttringen är underskriftens varningsfunktion. Även om underskrifter ofta är en rutinmässig handling kan ett bety- delsefullt syfte vara att handlingen att skriva under något ska ge upp- hov till eftertanke. Den som skriver under får anledning att överväga innebörden och vikten av det som undertecknas.8 Detta är särskilt påtagligt i fall där en underskrift ska bevittnas även om bevittnandet som sådant framför allt uppfyller en bevisfunktion.9

Identifikation

En underskrift kan användas för att identifiera den som undertecknat en handling. Detta benämns ibland även som en utställarverifikation eller utställarangivelse eftersom det kopplar handlingen till en utstäl- lare. Om det är fråga om en namnteckning är det inte självklart att det enbart med ledning av denna går att identifiera vem som skrivit under. Normalt består en namnteckning av att undertecknaren skri- ver sitt namn på ett för denne karaktäristiskt sätt. Detta innebär emellertid inte att krav på underskrift inte skulle kunna fullgöras med någon annan typ av tecken, t.ex. ett kryss eller bomärke. Det finns inte heller något krav på att en namnteckning ska vara läslig.10 Kam- marrätten i Stockholm har i ett avgörande även funnit att det inte finns något krav på att en persons fullständiga namn behöver skrivas ut om det inte föreligger någon osäkerhet om att en undertecknad handling härrör från en viss person.11

7eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018, s. 29.

8Prop. 2017/18:126 s. 22.

9Se t.ex. bestämmelserna om upprättande av testamente i 10 kap. ärvdabalken.

10Formel – Formkrav och elektronisk kommunikation (Ds 2003:29), s. 89.

11Kammarrätten i Stockholms dom den 18 oktober 2002 i mål nr 3099-2002.

53

Äkthet

En underskrift på en handling som innehåller text knyter den person som skrivit under till handlingens innehåll. Detta innebär också ett visst skydd mot manipulation.12 I fråga om namnteckningar är kopp- lingen mellan en person och en namnteckning dock inte uppenbar. Även om namnet är läsligt krävs det i princip föregående kunskap om namnteckningens utformning för att ha en möjlighet att upptäcka en förfalskad namnteckning.13 Dock anses namnteckningar endast med svårighet kunna förfalskas på ett sådant sätt att en förfalskning inte kan upptäckas i efterhand vid närmare analys.14 När det gäller elektroniska underskrifter innebär underskriften, om den är av mer avancerad art, ett starkare skydd mot manipulation än vad en namnteckning ger. IT-förfalskningsutredningen beskrev skillnaden mellan namnteck- ningar och elektroniska underskrifter på följande sätt.15

Traditionella underskrifter

1.Skrivs på ett självklart sätt

2.Förmågan att underteckna är medfödd och dessa egenskaper – ”skriv- donet” – kan inte komma på avvägar

3.En traditionell underskrift undersöks vanligtvis inte närmare förrän någon bestrider dess äkthet. Material för att analysera signaturen samlas in i efterhand av experter

4.Av erfarenhet vet vi att det är möjligt att lära sig att skriva en annan persons underskrift så att andra lätt vilseleds

5.Procedurerna bygger på en allmän tillit till egenhändiga underskrifter. I vissa fall finns emellertid särskilda rutiner för att kontrollera att en underskrift är äkta; t.ex. vidimering

Elektroniska underskrifter

1.Bygger på kryptografi och innehavet av en hemlighet – en ”nyckel”

2.Användaren brukar en ”nyckel”. Var och en som har tillgång till nyckeln kan underteckna elektroniskt. Nyckeln behöver därför skyddas

12Digitala signaturer – en teknisk och juridisk översikt (Ds 1998:14), s. 135.

13Se t.ex. Fakturabedrägerier (SOU 2015:77), s. 281 f.

14Digitala signaturer – en teknisk och juridisk översikt (Ds 1998:14), s. 136.

15Urkunden I Tiden – en straffrättslig anpassning (SOU 2007:92), s. 106 f.

54

3.Var och en som tar emot en elektroniskt underskriven handling be- höver kunna kontrollera dess äkthet. Kontrollmaterialet samlas in på förhand, bevaras och hålls tillgängligt. Detta för med sig nya infrastruk- turer

4.Det är i princip omöjligt att skapa en annan persons elektroniska underskrift utan att ha tillgång till den privata nyckeln

5.De elektroniska underskrifternas äkthet kontrolleras alltid. Det är viktigt att användaren kan lita på uppgiften om vem nyckeln tillhör. Detta behov tillgodoses genom e-legitimationer och anknytande tjänster

Utöver IT-förfalskningsutredningens uppställning är det även så att den elektroniska underskriften har en unik koppling till den handling som undertecknas eftersom underskriften bl.a. består av ett hash- värde som skapas utifrån den undertecknade handlingens innehåll (se mer om detta i avsnitt 5.2.2). En elektronisk underskrift innebär även att det är möjligt att skilja handlingar som kan kontrolleras på ett tillförlitligt sätt från oskyddade handlingar.16

Även om man bör kunna förlita sig på att en enskild individs elek- troniska underskrift även skapats av denne individ går det dock inte att fastställa enbart genom en validering av underskriften. Högsta domstolen har i ett mål gällande en låneförbindelse som undertecknats med en avancerad elektronisk underskrift uttalat följande rörande äkthet i relation till elektroniska underskrifter.17

En elektronisk underskrift kan vara äkta i den meningen att den faktiskt har använts och att användningen har skett med tillämpning av relevanta säkerhetslösningar, t.ex. med angivande av innehavarens personliga kod. Av detta går det dock inte att dra någon slutsats beträffande frågan om det är innehavaren eller någon annan som har använt underskriften. På det sättet skiljer sig den elektroniska underskriften från den traditionella på papper.

Bevisverkan

En viktig funktion för underskrifter är som bevis. En underskrift är ett sätt att säkra ett eventuellt framtida behov av att kunna bevisa såväl identiteten på den som undertecknat en handling som kopp- lingen mellan personen och den undertecknade handlingens inne-

16eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018 s. 23.

17NJA 2017 s. 1105.

55

håll, dvs. identifikations- och äkthetsfunktionerna som beskrivs ovan. Ofta kopplas denna bevisverkan till civilrättsliga avtal. Den är emeller- tid lika relevant i både förvaltningsrättsliga och straffrättsliga sam- manhang. Eftersom det i svenska domstolar råder fri bevisprövning görs ingen åtskillnad mellan namnteckningar och elektroniska under- skrifter vad avser deras bevisverkan.18 När det gäller bevisbördan avse- ende avancerade elektroniska underskrifter uttalade Högsta domsto- len följande i det tidigare nämnda målet.19

Det måste ankomma på långivaren, som är den part som tillhandahåller det bakomliggande tekniska systemet, att säkerställa att tekniken mot- svarar högt ställda kvalitetskrav. En avancerad elektronisk underskrift uppfyller sådana krav. Kan en långivare visa att den tekniska lösning som använts för att ingå ett låneavtal motsvarar skapandet av en avancerad elektronisk underskrift, och finns det inget som tyder på att det vid aktu- ellt tillfälle funnits tekniska problem med det använda systemet, bör kravet på långivaren i allmänhet anses uppfyllt. I ett sådant läge bör utgångs- punkten vara att den elektroniska underskriften inte är manipulerad, utan att den har skapats genom identifiering med gäldenärens personliga kod.

…

Om innehavaren hävdar att någon har obehörigen använt hans eller hennes elektroniska underskrift talar flera skäl för att innehavaren måste prestera någon bevisning avseende detta. Det gäller oavsett övriga om- ständigheter kring avtalsslutet, såsom att innehavaren är en konsument. Det är innehavaren av den elektroniska underskriften som har möjlighet att kontrollera och skydda den säkerhetslösning som ska tillämpas på hans eller hennes sida, exempelvis en personlig kod. Det är vidare inne- havaren som vet om han eller hon tidigare har gett någon annan tillgång till koden. Det är även innehavaren som kan känna till händelser som ger anledning till misstanke om t.ex. teknisk manipulation av hans eller hennes dator. Till detta kommer att utgångspunkten att den elektroniska underskriften endast kan skapas av den som har tillgång till den person- liga och hemliga koden är ägnad att skapa en tillit hos mottagaren - den förlitande parten - med innebörden att han eller hon ska kunna utgå från att en elektronisk handling kommer från den vars elektroniska under- skrift har använts vid undertecknandet.

18Principen om fri bevisprövning kommer till uttryck i 35 kap. 1 § rättegångsbalken och inne- bär att parterna i ett mål får åberopa all bevisning de vill (s.k. fri bevisföring) och att domstolen fritt prövar värdet av den åberopade bevisningen (s.k. fri bevisvärdering).

19A.a.

56

Med hänsyn till det anförda bör det krävas att innehavaren av den avan- cerade elektroniska underskriften gör åtminstone antagligt att använd- andet av underskriften skett obehörigen.

Det aktuella målet gällde en civilrättslig tvist men samma bevisbörda har även använts i förvaltningsrättsliga mål.20 I straffrättsliga mål är det åklagarens uppgift att utom rimligt tvivel styrka att något har skett. När det gäller avancerade elektroniska underskrifter har det i underrättsavgöranden dock, om vissa omständigheter visats rörande skapandet av underskriften, bedömts att en förklaringsbörda åligger den åtalade.21

När det gäller andra typer av elektroniska underskrifter finns det ingen tydlig praxis. Vad gäller namnteckning med elektronisk anord- ning har Svea hovrätt däremot i ett avgörande tagit fasta på att käran- den i det aktuella målet inte presenterat någon bevisning som mera direkt tar sikte på de omstridda namnteckningarnas äkthet, t.ex. andra handlingar som ostridigt har undertecknats av motparten i kombi- nation med sakkunnigutlåtanden.22 Detta följer av naturliga skäl den placering av bevisbördan som gäller för vanliga namnteckningar på papper.23

4.3Stämplar

4.3.1Användning av stämplar inom den offentliga förvaltningen

Stämplar används relativt ofta inom den offentliga förvaltningen. Ett vanligt förekommande användningsområde är för att märka inkomna pappershandlingar med datum då handlingen kom in och diarienum- mer eller annan beteckning handlingen fått vid registreringen. De kan också användas som varning för att exempelvis markera att en hand- ling omfattas av sekretess. Dessa typer av stämplar kan även tillfogas elektroniskt på inskannade eller elektroniskt inkomna eller upprättade handlingar. Vi kan inte se någon anledning för att generellt inom den offentliga förvaltningen använda avancerade eller kvalificerade elek- troniska stämplar för denna typ av stämplar som är ämnade att till-

20Se t.ex. Kammarrätten i Göteborgs dom den 21 mars 2019 i mål nr 4765-18.

21Se t.ex. Stockholms tingsrätts dom den 26 juni 2019 i mål nr B 5092-19 och Uppsala tings- rätts dom den 21 januari 2020 i mål nr B 6683-17 m.fl.

22Svea hovrätts dom den 11 november 2020 i mål nr FT 7229-19.

23Se bl.a. NJA 1976 s. 667 och RH 2014:27.

57

föra information till en handling. De typer av stämplar där det får anses befogat är i stället de vars syfte bl.a. är att identifiera en hand- lings ursprung och äkthet.

Ordet stämpel förekommer i ett 20-tal svenska författningar, av relevans för denna utredning är dock endast att det av bilaga 1 till förmynderskapsförordningen (1995:379) framgår att registerutdrag om ställföreträdarskap ska ha plats för stämpel. I övrigt har vi inte identifierat att det förekommer andra bestämmelser på lag- eller för- ordningsnivå som inom offentlig förvaltning ställer krav på använd- ning av en stämpel. Bestämmelsen är ett exempel på det som enligt vår bedömning är den vanligaste anledningen till att myndigheter stämplar handlingar där stämpeln har bevisverkan, dvs. att för tredje part bevisa en handlings ursprung och äkthet. Det kan exempelvis röra sig om att Migrationsverket behöver stämpla en kopia av en ut- ländsk ID-handling för att en asylsökande med en sådan bestyrkt kopia ska kunna öppna ett svenskt bankkonto.24 Ofta behöver en handling även stämplas för att den ska användas utomlands, exempelvis för att lämnas in till en utländsk myndighet. I sådana fall förekommer det även att stämpeln kombineras med att den som stämplar handlingen även skriver under den.25

I vissa fall kan stämplar av en mer avancerad art krävas. Det finns två sådana separata stämpelförfaranden, legalisering och apostille.

Med legalisering avses det formella förfarandet för att intyga rik- tigheten av en namnunderskrift från en person som innehar ett offent- ligt ämbete, den egenskap vari den som undertecknat handlingen har uppträtt samt, i förekommande fall, äktheten hos det sigill eller den stämpel som åsatts handlingen.26 Legaliseringar utförs i Sverige av Utrikesdepartementet (UD). Efter det att UD har legaliserat hand- lingen ska den vanligen också bestyrkas av den utländska ambassad i Stockholm som företräder det land där handlingen ska användas.

24www.regeringen.se/artiklar/2016/06/asylsokande-ska-fa-tillgang-till-bankkonto/ (hämtad 2021-01-11)

25Se t.ex. https://bolagsverket.se/be/sok/bevisengelska/bevis-och-intyg-pa-engelska-1.4486 (hämtad 2021-01-11) och https://skatteverket.se/privat/folkbokforing/bestallpersonbevis/vanligaonskemalfranutlands kamyndigheter.4.3810a01c150939e893f22054.html (hämtad 2021-01-11).

26Artikel 3.3 i Europaparlamentets och rådets förordning (EU) 2016/1191 av den 6 juli 2016 om främjande av medborgares fria rörlighet genom förenkling av kraven på framläggande av vissa officiella handlingar i Europeiska unionen och om ändring av förordning (EU) nr 1024/2012.

58

Apostille regleras i Konventionen om slopande av kravet på lega- lisering av utländska allmänna handlingar (SÖ 1999:1). En apostille fyller samma funktion som en legalisering och kan utfärdas på hand- lingar som ska uppvisas i ett annat land som tillträtt konventionen. I Sverige är det endast notarius publicus som har rätten att utfärda apostille. Notarius publicus är en jurist, ofta advokat, som förordnas av länsstyrelsen och har som uppgift att bl.a. bestyrka namnunder- skrifter, avskrifter och andra uppgifter om innehållet i handlingar.27

Värt att notera i sammanhanget är att enligt Europaparlamentets och rådets förordning (EU) 2016/1191 om främjande av medborgares fria rörlighet genom förenkling av kraven på framläggande av vissa officiella handlingar i Europeiska unionen är de officiella handlingar som omfattas av förordningen och bestyrkta kopior av dessa undan- tagna från legalisering och apostille.

Inom den offentliga förvaltningen förekommer således att myn- digheter stämplar sina egna handlingar eller att detta, genom åtgärd från enskild, utförs av UD eller notarius publicus. Även om elektro- niska stämplar hade kunnat användas i dessa sammanhang bygger en sådan hantering på att den som ska ta emot den elektroniskt stämp- lade handlingen även kan validera stämpeln. Ett införande av elek- troniska stämplar för detta ändamål kan således inte göras ensidigt av svenska myndigheter om inte den förlitande parten i form av exempelvis en utländsk myndighet accepterar elektroniska stämplar och kan validera den aktuella stämpeln. Det kan dock noteras att krav på utställarverifikation genom en betrodd tjänst vid utlämnande av elektroniska kopior och utdrag från aktiebolagsregistret införts i ett EU-direktiv som ska vara genomfört senast den 1 augusti 2021.28 Det är således möjligt att sådana krav kan komma att införas på EU- nivå även för andra utdrag från offentliga register.

Elektroniska stämplar omnämns endast i två svenska författningar (se mer om detta i avsnitt 8.7) och vår kartläggning visar att elektro- niska stämplar som används för att identifiera en handlings ursprung och äkthet endast används i begränsad omfattning i den offentliga för-

276 a § förordningen (1982:327) om notarius publicus.

28Genom Europaparlamentets och rådets direktiv (EU) 2019/1151 av den 20 juni 2019 om änd- ring av direktiv (EU) 2017/1132 vad gäller användningen av digitala verktyg och förfaranden inom bolagsrätt har det införts ett nytt krav i artikel 16a.4. Av artikeln följer att elektroniska kopior och utdrag ur handlingar och information från aktiebolagsregistret ska ha autentiserats genom betrodda tjänster enligt eIDAS-förordningen i syfte att garantera att de elektroniska utdragen kommer från registret och att deras innehåll är en bestyrkt kopia av den handling som finns i registret eller att det överensstämmer med den information som förvaras i registret.

59

valtningen. Elektroniska stämplar används i dagsläget framför allt som en del av maskinella processer. Exempelvis i samband med elektro- niskt informationsutbyte, maskin till maskin, där certifikat för auten- tisering av webbplatser används för att skydda transporten och stämplar för att skydda innehållet som skickas. Stämpeln används för att säker- ställa att innehållet inte har förvanskats. Stämplar används även i e-legi- timationssystemet där identitetsintygen stämplas av utfärdaren för att säkerställa att det kommer från rätt källa och är oförvanskat. De flesta av dessa stämplar baserar sig på av organisationen självutfärdade certifikat och används i en begränsad krets. En del stämpelcertifikat utfärdas dock av allmänt tillgängliga certifikatutfärdare. Användning av elektroniska stämplar förekommer även i samband med bevarande av elektroniska underskrifter (se mer om detta i avsnitt 8.5.3).

I skäl 65 i eIDAS-förordningens ingress exemplifieras vidare att elektroniska stämplar kan, utöver att användas för att autentisera ett dokument som utfärdats av en juridisk person, även användas för att autentisera en juridisk persons digitala tillgångar, t.ex. programvaru- koder eller servrar.

4.3.2Vilka juridiska funktioner fyller en stämpel?

I avsnitt 4.2.2 redogörs för de fem juridiska funktioner som en under- skrift i allmänhet anses fylla. Någon tidigare sammanställning rörande en stämpels eller ett sigills juridiska funktioner har vi inte hittat. Vi an- ser dock att en stämpel fyller samma funktioner som en underskrift gör.

För det första kan en stämpel på samma sätt som en underskrift anses ge uttryck för en vilja att exempelvis bekräfta något, åta sig en förpliktelse eller lämna en försäkran om att uppgifterna i en handling är med sanningen överensstämmande. En mottagare kan också, utifrån den stämplade handlingen, anta att denne kan agera på ett visst sätt.

Även varningsfunktionen har viss relevans vid användning av en stämpel då handlingen medför att den som stämplar kan få anledning att överväga om innehållet i den handling som stämplas är korrekt.

En stämpel kan därtill användas för att identifiera den juridiska person som står bakom en stämplad handling. Således blir stämpeln även en utställarverifikation.

60

En fjärde funktion är äkthet då en stämpel knyter den juridiska person som står bakom stämpeln till handlingens innehåll. Detta innebär också ett visst skydd mot manipulation.

Eftersom en enskild som begär att en handling förses med stämpel ofta använder den stämplade handlingen för att styrka något är till sist stämpelns bevisverkan avseende kopplingen mellan den juridiska personen och den stämplade handlingens innehåll, dvs. identifikations- och äkthetsfunktionerna central. Det kan här noteras att det i arti- kel 35.2 i eIDAS-förordningen framgår att en kvalificerad elektronisk stämpel ska omfattas av en presumtion om integritet hos de uppgif- ter som den kvalificerade elektroniska stämpeln är kopplad till och om att de har korrekt ursprung.

4.4Validering

4.4.1Användning av validering inom den offentliga förvaltningen

Som framgår av avsnitt 3.3 innebär validering inom området betrodda tjänster kontroll och bekräftelse av elektroniska underskrifters och stämplars giltighet. Denna äkthetskontroll innebär dock inte att det går att fastställa att exempelvis den person som anges som underteck- nare även undertecknat en handling (se mer om detta i avsnitt 4.2.2). Trots att det inte är möjligt att genom valideringen med säkerhet bekräfta att rätt person undertecknat en handling är det ett mycket säkrare sätt att koppla en underskrift till en viss individ än vad en pappersbaserad process medger. För att granska en namnteckning på en pappershandling krävs en äkta namnteckning att jämföra med. En sådan hantering är, om det ska göras på ett korrekt sätt, mycket resurskrävande.29 Det har inte heller av utredningens kartläggning fram- kommit att allmänna äkthetskontroller av namnteckningar är vanligt förekommande inom den offentliga förvaltningen. Förekomsten av validering i den offentliga förvaltningen drivs således framför allt av den ökade användningen av elektroniska underskrifter och stämplar. Många myndigheter har e-tjänster där underskrifter skapas inom ramen för den egna tjänsten. Valideringen är då en integrerad del av processen.

29Fakturabedrägerier (SOU 2015:77), s. 281 f.

61

Mottagande av elektroniskt undertecknade eller stämplade hand- lingar förutsätter emellertid inte att validering sker. Likt vad som i dagsläget gäller för namnteckningar kan mottagaren välja att utgå från att underskriften är äkta och att undertecknandet utförts av rätt person. När det gäller utbyte av handlingar mellan myndigheter bru- kar detta benämnas som organisationstillit. Det var E-delegationen som etablerade denna princip i syfte att effektivisera arbetet med infor- mationsutbyte mellan offentliga aktörer. Principen bygger på att det vid informationsutbyte inom ramen för myndigheternas samverkans- och serviceskyldighet räcker att kontrollera att den andra parten är den myndighet som den uppger sig vara, eftersom en myndighet van- ligtvis kan lita på att en handläggare som agerar för en annan myn- dighets räkning är behörig att företräda myndigheten.30 Mottagande myndighet litar således på att rätt person skrivit under en aktuell hand- ling utan att kontrollera att detta stämmer.31

4.5Elektroniska tjänster för rekommenderade leveranser samt den offentliga förvaltningens informationsutbyten

4.5.1Vad är elektroniska tjänster för rekommenderade leveranser?

Av skäl 66 i ingressen till eIDAS-förordningen framgår att det är av av- görande betydelse att det föreskrivs en rättslig ram för att främja gräns- överskridande erkännande mellan befintliga nationella rättssystem för elektroniska tjänster för rekommenderade leveranser. Den ramen skulle också kunna öppna nya marknadsmöjligheter för unionens tillhandahållare av betrodda tjänster att erbjuda nya paneuropeiska tjänster för elektroniska tjänster för rekommenderade leveranser. Det är mot denna bakgrund som den betrodda tjänsten elektronisk tjänst

30eSam, En effektiv informationsförsörjning, juni 2017, s. 63.

31Utredningen om effektiv styrning av nationella digitala tjänster (SOU 2017:114, s. 264) lyfte fram den tidigare lydelsen av 45 kap. 4 § rättegångsbalken som ett exempel på hur lagstift- ningen kan sägas ha följt principen om organisationstillit. Av bestämmelsen följer att en stäm- ningsansökan som huvudregel ska vara egenhändigt undertecknad. En stämningsansökan som ges in elektroniskt ska emellertid vara undertecknad med en sådan elektronisk underskrift som avses i artikel 3 i eIDAS-förordningen eller överföras på ett sätt som uppfyller motsvarande grad av säkerhet. Det sista ledet i bestämmelsen utgjorde enligt utredningen en författnings- reglerad organisationstillit. Det bör noteras att bestämmelsen ändrades den 1 januari 2021 på så sätt att kravet på undertecknande eller överförande på ett sätt som uppfyller motsvarande grad av säkerhet togs bort helt.

62

för rekommenderad leverans ska förstås. Tjänsten definieras i arti- kel 3.36 i eIDAS-förordningen som en tjänst som gör det möjligt att överföra uppgifter mellan tredje män på elektronisk väg och tillhanda- håller bevis avseende de överförda uppgifternas hantering, inklusive bevis för uppgifternas sändning och mottagande, och som skyddar överförda uppgifter mot risken för förlust, stöld, skada eller otillåtna ändringar.

4.5.2Den offentliga förvaltningens informationsutbyten

Elektroniska tjänster för rekommenderade leveranser möjliggör infor- mationsutbyten. Elektronisk kommunikation och informationsut- byte mellan samt till och från aktörer inom offentlig förvaltning är omfattande, exempelvis via digital post. Fler än fyra miljoner privat- personer och företag i Sverige har en digital brevlåda genom brevlåde- operatörerna Digimail, eBoks, Kivra och Min myndighetspost. Genom dessa tjänster, som nyttjar den gemensamma infrastrukturen be- nämnd Mina meddelanden, kan dessa personer och företag ta emot, läsa och bevara digital myndighetspost.32

Mellan vissa anslutna statliga myndigheter sker bl.a. e-postutbyten via kommunikationstjänsten SGSI (Swedish Government Secure Intranet) som tillhandahålls av Myndigheten för samhällsskydd och beredskap (MSB). All datatrafik mellan SGSI-anslutna myndigheter är krypterad.33

Det finns även exempel på strukturerade informationsutbyten inom den offentliga förvaltningen. Ett av dem är Rättsväsendets infor- mationsförsörjning (RIF). RIF är ett samarbete mellan rättsväsendets myndigheter, med målet att digitalisera och utveckla informations- utbytet mellan myndigheterna i rättskedjan. Inom RIF utbyts infor- mation strukturerat system till system. En viktig komponent i utbytet är att principen om organisationstillit tillämpas (se mer om denna princip i avsnitt 4.4.1). Det i sin tur medför att mottagande aktör inte behöver kontrollera om den avsändande handläggaren är behörig eller inte.34 RIF bygger på kommunikations- och överföringsproto- kollet SHS (Spridnings- och HämtningsSystem) som förvaltas av För- säkringskassan. Detta protokoll utgör även grunden för bl.a. SSBTEK

32www.digg.se/digital-post (hämtad 2021-01-13).

33www.msb.se/sv/verktyg--tjanster/sgsi/ (hämtad 2021-01-13).

34reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 264.

63

(Sammansatt bastjänst för ekonomiskt bistånd) och LEFI Online som ger tillgång till person- och förmånsinformation från Pensions- myndigheten och Försäkringskassan.

Andra lösningar för informationsutbyten inom förvaltningen är t.ex. den nationella tjänsteplattformen vars syfte är att förenkla, säkra och effektivisera informationsutbytet mellan olika it-system inom vård- och omsorgssektorn. Den nationella tjänsteplattformen till- handahålls av Inera. Inera driver även projektet Säker digital kommu- nikation (SDK) vars mål är att skapa en standardiserad förmåga till säker digital kommunikation mellan kommuner, regioner och stat- liga myndigheter. En sådan lösning ska även omfatta privata utförare av offentligt uppdrag. Kanaler som exempelvis fax och brev ska ersät- tas med digital och säker meddelandeöverföring. Projektet har drivits sedan 2017 och breddinförandet beräknades tidigare ske 2021. Detta är nu senarelagt. Den tekniska lösningen bygger på eDelivery (se mer om eDelivery i avsnitt 5.12.2) och vissa centrala tjänster kommer att tillhandahållas av DIGG.35

År 2018 gav regeringen Bolagsverket, Domstolsverket, E-hälso- myndigheten, Försäkringskassan, Lantmäteriet, Skatteverket och DIGG i uppdrag att tillsammans analysera och lämna förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med elektroniska informationsutbyten inom och med den offentliga sek- torn.36 Uppdraget resulterade i rapporten Säkert och effektivt elektro- niskt informationsutbyte inom den offentliga sektorn. I rapporten före- slogs fyra kategorier av förvaltningsgemensamma byggblock i ett ekosystem med förvaltningsgemensam digital infrastruktur för infor- mationsutbyte: digitala tjänster, informationsutbyte, informations- hantering samt tillit och säkerhet.37 Regeringen lämnade i december 2019 ett nytt uppdrag till tidigare nämnda myndigheter samt MSB och Riksarkivet att tillsammans etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte. Den 17 december 2020 beslutade regeringen om förlängd tid för uppdraget. Uppdraget ska

35www.inera.se/utveckling/pagaende-projekt-och-utredningar/saker-digital- kommunikation/ (hämtad 2021-01-13).

36Uppdrag om ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn (Fi2018/02150/DF, FI2018/03037/DF och I2019/01061/DF).

37DIGG m.fl., Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn (DIGG dnr 2019-100), s. 17 ff.

64

slutrapporteras i december 2021.38 En delredovisning skedde dock i slutet av januari 2021. I delredovisningen lämnades förslag på en lämplig struktur för arbetet med den förvaltningsgemensamma infra- strukturen för informationsutbyte, förslag på författning som reglerar myndigheternas uppgifter och ansvar, en långsiktig plan för arbetet samt redovisning av arbetet med enskilda.39

4.5.3Finns det svenska tillhandahållare av elektroniska tjänster för rekommenderade leveranser?

Utredningen om effektiv styrning av nationella digitala tjänster fram- förde att leverantörerna av digitala brevlådetjänster som använder sig av infrastrukturen Mina meddelanden kan ses som att de tillhanda- håller elektroniska tjänster för rekommenderade leveranser.40 Post- och telestyrelsen (PTS) genomförde därefter en utredning av om den statliga brevlådeoperatören Min Myndighetspost tillhandhöll en be- trodd tjänst. PTS slutsats var att Min Myndighetspost var en betrodd tjänst på så sätt att den utför validering av avancerade elektroniska stämplar. Utifrån att Min Myndighetspost som brevlådeoperatör enbart tar emot försändelser och validerar dessa omfattades den dock inte enligt PTS bedömning av eIDAS-förordningens definition av en elektronisk tjänst för rekommenderad leverans.41

I dagsläget finns det inte i Sverige några tillhandahållare av kvali- ficerade elektroniska tjänster för rekommenderade leveranser. Det är möjligt att något eller några av de system för informationsutbyten som används av den offentliga förvaltningen skulle kunna anses utgöra icke kvalificerade elektroniska tjänster för rekommenderade leveran- ser. För att göra en sådan bedömning krävs emellertid en genomgång av respektive systems tekniska uppbyggnad. Att göra sådana bedöm- ningar får anses ligga utanför utredningens uppdrag.

38Uppdrag att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte (I2019/03306/DF, I2019/01036/DF [delvis], I2019/01361/DF [delvis] och I2019/02220/DF)

39DIGG m.fl. Delredovisning – Uppdrag att etablera en förvaltningsgemensam digital infra- struktur för informationsutbyte (AD 2019:582), 29 januari 2021.

40reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 381.

41Post- och telestyrelsen, Brevlådeoperatörer och betrodda tjänster, Presentation, 20 november 2019.

65

4.6Certifikat för autentisering av webbplatser

4.6.1Vad är certifikat för autentisering av webbplatser?

Certifikat för autentisering av webbplatser definieras i artikel 3.38 i eIDAS-förordningen som ett intyg som gör det möjligt att autenti- sera en webbplats och koppla webbplatsen till den fysiska eller juri- diska person som certifikatet utfärdats för. Enligt skäl 67 i förord- ningens ingress innebär tjänster för autentisering av webbplatser en möjlighet för en besökare på en webbplats att försäkra sig om att en verklig och legitim enhet står bakom webbplatsen. Certifikatet ut- färdas vanligen till ett eller flera domännamn.42 Ett annat sätt att beskriva det är att certifikat för autentisering av webbplatser används för att skydda trafiken till och från en webbplats, t.ex. en e-tjänst eller en mobilapplikation. Dessa certifikat kan även användas för att skydda trafiken från maskin till maskin inom och mellan organisa- tioner. Av skäl 67 i eIDAS-förordningens ingress framgår vidare att användning av denna betrodda tjänst är frivillig och att även andra sätt eller metoder för att autentisera en webbplats, än de som omfat- tas av förordningen, får användas.

Utvecklingen inom området drivs i stor utsträckning av CA/Browser Forum. CA/Browser Forum är ett frivilligt konsortium av certifikatutfärdare (certification authorities [CA]) samt utvecklare av webbläsare, operativsystem och andra applikationer. Konsortiet tar fram riktlinjer gällande utfärdandet och hanteringen av certifikat som finns med som standard i dessa applikationer.43 Certifikaten används för att stämpla programkod och för användning i TLS- protokollet för att skydda trafiken till en webbplats eller mellan två maskiner.44

Forumet tog 2011 fram riktlinjer som är bindande för dess med- lemmar och som innebär att certifikat klassificeras som domän- validerade, organisationsvaliderade, individuellt validerade eller utökat validerade.45 Med validerade avses i detta fall hur omfattande kon- trollen av identiteten på den som köpt certifikatet är. Att följa dessa riktlinjer är en förutsättning för att finnas med i webbläsares och opera-

42Exempelvis är www.regeringen.se ett domännamn.

43https://cabforum.org/wp-content/uploads/CA-Browser-Forum-Bylaws-v2.3.pdf%20 (hämtad 2021-01-28).

44Transport Layer Security (TLS) är ett kryptografiskt kommunikationsprotokoll som är en öppen standard för säkert utbyte av krypterad information mellan datorsystem.

45https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.7.3.pdf

(hämtad 2021-01-28).

66

tivsystems listor över betrodda utfärdare, dvs. sådana som inte ger en varning till den som besöker en webbplats att certifikatet är okänt.

4.7Användning av certifikat för autentisering av webbplatser inom den offentliga förvaltningen

Certifikat för autentisering av webbplatser används i stor utsträckning för att skydda webbplatser samt trafik mellan maskiner och mellan organisationer. Användningen av sådana kvalificerade certifikat som regleras i eIDAS-förordningen förefaller dock vara mycket begrän- sad. EU-kommissionen arbetar emellertid för att stimulera och öka användningen i syfte att skapa en europeisk marknad för sådana certi- fikat. Det har skett bl.a. genom att Europeiska unionens cybersäker- hetsbyrå (ENISA) studerat hur användningen kan ökas.46 ENISA har även undersökt hur det i en webbläsare kan framgå att webbplatsen använder ett kvalificerat certifikat för autentisering av webbplatser.47

Det finns även krav på användningen av kvalificerade certifikat för elektroniska stämplar eller autentisering av webbplatser via nor- mativa specifikationer som används i vissa sammanhang. Det finns t.ex. en delegerad förordning48 till andra betaltjänstedirektivet49 som ställer krav på att betaltjänsteleverantörer ska använda sig av kvalifi- cerade certifikat för stämplar eller kvalificerade certifikat för auten- tisering av webbplatser. Användningen ska ske i samband med att leverantörer av kontoinformationstjänster, leverantörer av betalnings- initieringstjänster och betaltjänstleverantörer som ger ut kortbaserade betalningsinstrument identifierar sig för den kontoförvaltande betal- tjänstleverantören.

Vad avser användning i Sverige används kvalificerade certifikat för autentisering av webbplatser för trafiken mellan noderna i systemet för informationsutbyte mellan socialförsökringsmyndigheterna, dvs.

46ENISA, Qualified Website Authentication Certificates – Promoting consumer trust in the web- site authentication market, december 2015.

47ENISA, QWACs Plugin Proof of concept browser plugin to support the two-step verification of qualified certificates for web-site authentication, januari 2018.

48Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om kom- plettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska till- synsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunika- tionsstandarder.

49Europaparlamentets och rådets direktiv (EU) 2015/2366 (PSD 2) om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (PSD).

67

Försäkringskassan och dess systermyndigheter i andra EU-länder, EESSI (Electronic Exchange of Social Security Information). Efter- som det inte finns någon svensk utfärdare av kvalificerade certifikat för autentisering av webbplatser har dessa enligt uppgift från Försäk- ringskassan anskaffats från kvalificerad tillhandahållare i annat land.

4.8Elektronisk tidsstämplingstjänst

4.8.1Vad är en elektronisk tidsstämplingstjänst?

Elektronisk tidsstämpling definieras i artikel 3.33 i eIDAS-förord- ningen som uppgifter i elektronisk form som binder andra uppgifter i elektronisk form till en viss tidpunkt och därmed utgör bevis för att de senare uppgifterna existerade vid den tidpunkten. Sådana tjänster kan användas som enskilda betrodda tjänster eller i kombination med andra betrodda tjänster. Av artikel 44.1 f i eIDAS-förordningen fram- går exempelvis, avseende kvalificerade elektroniska tjänster för rekom- menderade leveranser, att datumet och tidpunkten för avsändande, mottagande och eventuella ändringar av uppgifter måste anges genom en kvalificerad elektronisk tidsstämpling.

Alla avancerade eller kvalificerade elektroniska underskrifter och stämplar innehåller en tidsuppgift om när de skapats. Den tidsupp- giften hämtas normalt från det system där underskriften skapas, dvs. i en användares dator eller tiden i en e-tjänst. Det går även att använda en betrodd tjänst från tredje part som anger tidsuppgiften när under- skriften eller stämpeln skapas och då skyddas tidsuppgiften av den betrodda tjänstens egen underskrift eller stämpel.

4.8.2Användning av tidsstämplingstjänster inom den offentliga förvaltningen

Det förekommer formkrav i vissa medlemsstater i EU om att kvali- ficerade tidsstämplingstjänster ska användas. I Sverige framstår be- hovet av tidsstämpling som enskild tjänst utifrån vår kartläggning dock inte som särskilt stort. Detta beror troligtvis på den utbredda före- komsten av e-tjänster där underskrifter skapas i samband med använd- ningen av e-tjänsten. Vid skapandet av underskriften används då tids- uppgifter från den som tillhandahåller e-tjänsten.

68

5Betrodda tjänster

– teknik, juridik och standarder

5.1Inledning

Syftet med detta kapitel är att översiktligt beskriva den teknik som ligger till grund för betrodda tjänster, de bestämmelser som finns inom området samt framtagandet av standarder och tekniska specifikationer.

5.2Betrodda tjänster – hur fungerar tekniken?

En förenklad beskrivning av tekniken bakom betrodda tjänster är att den vanligen bygger på kryptering med privata och publika nycklar, s.k. asymmetrisk kryptering. Nycklarna hänger samman i ett par som matematiskt är kopplade till varandra på sådant sätt att allt som krypteras med den privata nyckeln kan dekrypteras med den publika nyckeln, medan det som krypteras med den publika nyckeln enbart kan dekrypteras med den privata nyckeln (se figur 5.1). Den publika nyckeln kan publiceras eller delas öppet medan den privata nyckeln måste skyddas väl av innehavaren.

Figur 5.1 Asymmetrisk kryptering med PKI

69

När tekniken används i en infrastruktur kallas den Public Key Infra- structure (PKI). PKI är ett samlingsnamn för den infrastruktur, byggd på komponenter, gränssnitt, ansvar och förtroende, som med hjälp av privata och publika nycklar används för bl.a. identifiering, under- skrifter och skydd mot obehörig insyn. För PKI spelar certifikat en viktig roll och inom ramen för eIDAS-förordningen är det tillhanda- hållarna av betrodda tjänster som utfärdar certifikaten. Dessa certi- fikatutfärdare knyter med hjälp av certifikatet en fysisk eller juridisk person till ett unikt nyckelpar. Detta sker genom att certifikat- utfärdaren intygar att en fysisk eller juridisk person är innehavare av ett nyckelpar och kopplingen säkras genom att utfärdaren stämplar certifikatet med sin privata nyckel. I certifikatet finns information om nyckelinnehavaren på ungefär samma sätt som den information som framgår av ett id-kort. Detta nyckelpar gör det möjligt att iden- tifiera användaren elektroniskt och för användaren att skapa elektro- niska underskrifter eller stämplar.

En utfärdare identifierar en innehavare när certifikatet ges ut. Där- efter tillhandahåller utfärdaren funktioner för spärrkontroll, t.ex. spärrlistor eller en kontrollfunktion online så att den förlitande par- ten kan kontrollera att individen inte har spärrat sitt certifikat med tillhörande nyckelpar. Olika typer av användning av dessa nyckelpar är således grunden för PKI-baserade betrodda tjänster, som i dags- läget är de absolut vanligast förekommande. Det finns dock även betrodda tjänster som använder blockkedjeteknik för elektroniska underskrifter och elektroniska tidsstämplingar i stället för PKI (se mer om detta i avsnitt 5.2.3).

5.2.1Autentisering

Autentisering definieras i artikel 3.5 i eIDAS-förordningen som en elektronisk process som gör det möjligt att bekräfta den elektroniska identifieringen för en fysisk eller juridisk person, eller ursprunget för och integriteten hos uppgifter i elektronisk form. När PKI an- vänds för identifiering innebär det att den som vill identifiera någon krypterar med den publika nyckeln och individen, organisationen eller tjänsten dekrypterar med den privata nyckeln. Certifikatet som be- skrivits tidigare kopplar ihop nyckelparet med en juridisk eller fysisk person. Förmågan att dekryptera med den privata nyckeln visar att

70

den identifierade är den som intygas vara innehavare av en publik nyckel i certifikatet. Denna teknik används bl.a. i betrodda tjänster för autentisering av webbplatser där en användare ska kunna autentisera t.ex. en e-tjänst och att myndigheten står bakom tjänsten. I fallet ovan skickar e-tjänsten ett krypterat slumptal till användaren som krypterats med e-tjänstens privata nyckel som användaren kan dekryp- tera med e-tjänstens publika nyckel som återfinns i certifikatet för autentisering av webbplatsen. Detta sker automatiserat i användarens webbläsare eller applikation.

5.2.2Elektroniska underskrifter och stämplar

När en elektronisk underskrift ska framställas innebär det att den privata nyckeln används för att kryptera och att den publika nyckeln används för att dekryptera (se figur 5.2). Det som krypteras och de- krypteras i en elektroniskt underskrift eller stämpel är ett s.k. hash- värde av den undertecknade informationen. Detta för att alla ska ha möjlighet att validera en underskrift. Algoritmen som används för att skapa hashvärdet måste vara så pass avancerad att inte två olika infor- mationsmängder ger samma hashvärde. Hashvärdet krypteras med den privata nyckeln och framställer på sådant sätt ett dataobjekt, dvs. underskriften som är unikt knuten till både den datamängd som repre- senterar den undertecknade handlingen och användaren. Använd- ningen av den asymmetriska krypteringsmetoden och PKI innebär att alla som litar på certifikatutfärdaren kan dekryptera med den pub- lika nyckeln. Vilken krypteringsalgoritm och hashalgoritm som an- vänds framgår av certifikatet och med denna information kan den som vill validera underskriften göra det. Detta är grunden för avan- cerade och kvalificerade elektroniska underskrifter och andra krypto- grafiskt säkrade underskrifter. Underskrifterna kan ha olika format och egenskaper kopplade till t.ex. dokumentformat som PDF och XML.1

1Förkortningen XML står för Extensible Markup Language. XML är en teknisk standard för strukturmärkning av textbaserade elektroniska dokument.

71

Figur 5.2 Elektroniskt undertecknande av handling med PKI

Tekniken för en elektronisk stämpel är densamma som för en under- skrift. Den enda skillnaden är att i underskriften identifieras en fysisk person som innehavare av en publik nyckel medan det för en elektro- nisk stämpel är en juridisk person som identifieras som innehavare av den publika nyckeln.

Samma teknik används av tidsstämplingstjänster. Tjänsten får ett hashvärde av en informationsmängd skickat till sig, varefter den sätter dit ett klockslag och säkrar klockslaget med sin egen elektroniska underskrift eller stämpel.

Fristående underskriftstjänst

DIGG rekommenderar myndigheter som har behov av att användare skriver under elektroniskt att införa en s.k. fristående underskrifts- tjänst.2 En fristående underskriftstjänst möjliggör att användaren kan identifiera sig med valfri e-legitimation inom ramen för de avtal om elektronisk identifiering som myndigheten har.

2Avsnittet bygger i stor utsträckning på uppgifter från www.digg.se/digital-identitet/e- underskrift/offentlig-aktor (hämtad 2021-01-19) och Kammarkollegiet, Vägledning för avrop av tjänster för elektronisk identifiering och elektronisk underskrift från ramavtalsområden inom Programvaror och Tjänster 2019 (Version 2.0), 8 april 2020.

72

När en underskrift krävs för att fullfölja ett ärende väljer myn- digheten att begära användarens underskrift av en handling. Hand- lingen visas för användaren som bekräftar att underskrift ska göras genom att välja ”jag vill skriva under ...”, eller motsvarande.

Den handling som ska skrivas under paketeras och det skapas även ett hashvärde av den elektroniska handlingen. En begäran om under- skrift skapas och sänds till underskriftstjänsten. Även ett meddelande sänds, som användaren ser när denne identifierar sig för underskrift. Det är endast hashvärdet av den elektroniska handlingen som sänds till underskriftstjänsten, inte handlingen som sådan.

Underskriftstjänsten tar emot en begäran om underskrift och sän- der användaren vidare till identitets- och intygsfunktionen. Använd- aren ser meddelandet och identifierar sig för underskrift genom att ange sin säkerhetskod eller motsvarande. Identitets- och intygsfunk- tionen kontrollerar identifieringen och ställer ut ett identitetsintyg som sänds tillbaka till underskriftstjänsten. Underskriftstjänsten tar emot och kontrollerar identitetsintyget samt skapar användarens elek- troniska underskrift med tillhörande underskriftscertifikat. Under- skriftstjänsten skapar ett underskriftssvar som sänds tillbaka till funk- tionen på myndigheten som tar emot underskriftssvaret.

Underskriftssvaret tas emot och kontrolleras och myndighetens funktion fogar därefter samman underskriften med originalhand- lingen till en undertecknad elektronisk handling. En kvittens visas för användaren.

Den fristående underskriftstjänsten använder samma kryptogra- fiska metoder som beskrivs i avsnittet ovan. Däremot har inte an- vändaren vänt sig till en certifikatutfärdare och fått ett certifikat med tillhörande nycklar utfärdat i förväg. I stället ställs ett engångscerti- fikat ut genom den fristående underskriftstjänsten i samband med att en underskrift skapas.

5.2.3Blockkedjeteknik

En blockkedja är en distribuerad lista över digitala objekt som är ord- nade i en struktur som kan göra information beständig mot föränd- ring.3 Förenklat beskrivet fungerar en blockkedja så att det utifrån ett

3Innehållet i detta avsnitt bygger i stor utsträckning på Yaga, Dylan, m.fl., Blockchain Technology Overview (National Institute of Standards and Technology, NISTIR 8202), oktober 2018.

73

digitalt informationsinnehåll, t.ex. ett elektroniskt dokument, skapas ett hashvärde med hjälp av en kryptografisk algoritm. Det ursprung- liga dokumentet kan bevaras i ett exemplar hos innehavaren samtidigt som hashvärdet som representerar dokumentets information sparas och förmedlas vidare tillsammans med andra hashvärden i en grupp. En sådan grupp hashvärden kan i sin tur betraktas som ett nytt elek- troniskt dokument som det beräknas ett samlat hashvärde för. Varje sådan grupp innehåller dessutom hashvärdet från föregående grupp, vilket bildar en kedja av grupper eller block som bygger på varandra. Alltså en blockkedja vars struktur garanterar att de ingående hash- värdena inte kan ändras utan att påverka efterföljande block i kedjan.

Den elektroniska handlingen vars hashvärde ingår i en blockkedja behöver inte vara ett dokument, utan kan exempelvis vara publika nycklar med information rörande vem de är utfärdade till. På detta sätt får man en oföränderlig historik över utfärdade identiteter.

Blockkedjan är distribuerad så att en kopia av den finns hos alla de noder i ett nätverk som samtidigt försöker att skapa nya block i kedjan. För att skapa ett nytt block krävs någon form av begränsad resurs som gör det svårt eller dyrt att förfalska blockkedjan. Ofta är denna resurs beräkningskraft, men det kan också vara hur stor andel av det som blockkedjan skyddar som kontrolleras av den som skapar block.

Eftersom en blockkedja inte består av innehållet i ett dokument, utan endast dess hashvärde går det inte att återskapa innehållet i själva dokumentet från information i blockkedjan. Det är bara inne- havaren av det ursprungliga dokumentet som kan läsa eller sprida innehållet i dokumentet. Blockkedjan kan dock med en mycket hög grad av tillförlitlighet visa att dokumentet existerade vid en viss tid- punkt eller knyta det till en viss elektronisk identitet. Befintliga lös- ningar med användning av blockkedjeteknik innefattar elektronisk underskrift där användaren identifierats med e-legitimation eller mot- svarande för att verifiera kopplingen till den fysiska person som är utställaren av dokumentet. Tekniken används även för tidsstämp- lingstjänster och det finns i skrivande stund åtminstone en kvalifice- rad tillhandahållare av kvalificerad tidsstämplingstjänst i Europa som använder blockkedjeteknik.

74

5.2.4Nya metoder för att identifiera användare

Identifiering av användare är en förutsättning för att kunna knyta användare till en elektronisk underskrift och således skapa avancerade eller kvalificerade elektroniska underskrifter. Det pågår en översyn av eIDAS-förordningen (se mer om detta i avsnitt 5.4.6) och det som hittills har offentliggjorts av EU-kommissionen i samband med pre- sentationer vid möten har till stor del varit inriktat mot elektronisk identifiering och en europeisk elektronisk identitet som baserar sig på s.k. Self Sovereign Identity (SSI).4

SSI bygger på tanken att individen själv skapar och har kontroll över sina attribut som används för att identifiera individen och delar med sig av de attribut som behövs för att använda en viss tjänst.5 De attribut som delas kan i en tjänst vara för att visa att personen är myndig, i en annan tjänst kan det vara att personen har rätt att köra bil och i en tredje tjänst en mer komplex logik som kräver flera olika attribut. En grundtanke med SSI är att personen själv har medlen för att skapa, kontrollera och lagra sina unika identifierare.

Tekniken som används är baserad på blockkedjeteknik och bygger på en sorts identifierare som kallas DID6 (Decentralised Identifiers). DID är en URL (Uniform Resource Locator). En URL definierar var och hur en resurs, t.ex. ett dokument, kan hämtas.7 En DID pekar på en individ och ett dokument som utformas på ett specifikt sätt, kallat DID-dokument. Dokumentet beskriver hur den decen- traliserade identiteten ska användas och hur dokumentet stödjer autentiseringen av individen som är kopplad till dokumentet. DID är baserat på en decentraliserad infrastruktur som inte kräver något centralt system för registrering av användare. Det kan baseras på en decentraliserad PKI med decentraliserat nyckelhanteringssystem. Kopplat till detta finns datamoduleringar och syntax för utbyte av verifierbara identifierare.

Inom EU bedrivs för närvarande ett projekt, European Self- Sovereign Identity Framework (ESSIF), som använder SSI och block- kedjeteknik via European Blockchain Services Infrastructure (EBSI). I detta arbete förutses och förutsätts att det finns centrala betrodda

4ENISA trust services forum – CA-day 2020, 22-23 september 2020 och PTS forum för be- trodda tjänster, 19 november 2020.

5https://ieeexplore.ieee.org/document/8776589 (hämtad 2021-01-22).

6www.w3.org/TR/did-core/ (hämtad 2021-01-22).

7Svenska datatermgruppen, www.termado.com/DatatermSearch/?ss=url (hämtad 2021-01-13).

75

tillhandahållare av attribut för en viss individ, sedan tidigare verifie- rade attribut om individen som t.ex. körkortsbehörighet, examens- bevis och liknande.

5.3Tidigare reglering av betrodda tjänster

Signaturdirektivet

Föregångaren till eIDAS-förordningen var signaturdirektivet. Direk- tivet upphävdes i och med att förordningen började tillämpas. För- ordningen bygger i vissa delar på direktivets bestämmelser och i syfte att ge en så heltäckande förståelse för förordningen som möjligt pre- senteras nedan direktivets huvuddrag. En mer omfattande genomgång av direktivet finns bl.a. i förarbetena till det svenska genomförandet.8

Direktivet innehöll bestämmelser om elektroniska signaturer och vissa certifikattjänster. Termen betrodda tjänster infördes först i sam- band med eIDAS-förordningen. Syftet med direktivet var att under- lätta användningen av elektroniska signaturer, bidra till deras rättsliga erkännande samt säkerställa en väl fungerande inre marknad. När kommissionen presenterade sitt förslag till direktiv konstaterades bl.a. att öppna nätverk, såsom internet, erbjuder nya affärsmöjligheter och möjliggör interaktion mellan det offentliga och företag eller pri- vatpersoner.9 För att kunna ta tillvara dessa möjligheter på bästa sätt krävs säkra miljöer för elektronisk autentisering. Elektroniska sig- naturer konstaterades möjliggöra det. Vidare anförde kommissionen att flera medlemsstater hade vidtagit egna lagstiftningsinitiativ som riskerade att leda till fragmentisering på området och att det därför förelåg ett behov av harmonisering på EU-nivå.10

Direktivet hade i jämförelse med eIDAS-förordningen ett relativt begränsat antal materiella bestämmelser om elektroniska signaturer och certifikattjänster.

En central bestämmelse i direktivet som fördes vidare till eIDAS- förordningen gällde elektroniska signaturers rättsliga verkan (se mer om de nuvarande bestämmelserna i avsnitt 5.9). Enligt artikel 5.1 var medlemsstaterna skyldiga att säkerställa tre saker avseende avance- rade elektroniska signaturer som var baserade på ett kvalificerat cer-

8Se prop. 1999/2000:117 s. 25 ff.

9KOM(1998) 297 slutlig av den 13 maj 1998.

10A.a.

76

tifikat och som skapats av en säker anordning för skapande av signa- turer. För det första att sådana signaturer uppfyllde de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form, på samma sätt som en handskriven signatur uppfyller samma krav i förhållande till uppgifter på papper. För det andra att de godtogs som bevis vid rättsliga förfaranden. Slutligen skulle medlemsstaterna även säkerställa att en elektronisk signatur inte förvägrades rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att signaturen var i elektronisk form, inte var baserad på ett kvalificerat certifikat, inte var baserad på ett kvalificerat certifikat utfärdat av en ackrediterad tillhandahållare av certifikattjänster, eller inte var skapad av en säker anordning för skapande av signaturer.

I Sverige genomfördes direktivet genom lagen (2000:832) om kva- lificerade elektroniska signaturer. Lagen följde i huvudsak direktivets bestämmelser men det kan noteras att termen ”kvalificerade elek- troniska signaturer” infördes i lagen, en term som saknas i direktivet. I lagens förarbeten motiverades det med att direktivet ville ge de elektroniska signaturer som inte bara var avancerade utan också baserade på ett kvalificerat certifikat och skapade av en säker anord- ning för signaturframställning en särskild ställning.11 Vid genom- förandet konstaterades emellertid att det fanns anledning att vara försiktig med att reglera ett bredare område än vad direktivet krävde eftersom den marknad direktivet reglerade ännu inte vuxit fram i nämnvärd omfattning.12 PTS utsågs till tillsynsmyndighet och fick även föreskriftsrätt avseende innehåll i kvalificerade certifikat samt krav på certifikatutfärdare.13

År 2012 konstaterade kommissionen att området behövde refor- meras. Kommissionen anförde att signaturdirektivet inte hade lett till den harmonisering som avsågs, bl.a. mot bakgrund av att medlems- staterna hade gjort olika tolkningar av direktivet vid genomförandet och att gamla standarder användes. Tillsynen i medlemsstaterna skiljde sig också åt vilket gjorde det svårt att bedöma tillsynen över en viss tillhandahållare. I gränsöverskridande situationer upplevdes inter- operabilitetsproblem. För att komma tillrätta med de identifierade problemen föreslog kommissionen det som kom att bli eIDAS-för-

11Prop. 1999/2000:117 s. 41.

12A.a. s. 33.

132 och 3 första stycket §§ förordningen (2000:833) om kvalificerade elektroniska signaturer.

77

ordningen. En förordning som i jämförelse med direktivet, utöver att dess bestämmelser var direkt tillämpliga, hade ett bredare tillämp- ningsområde och omfattade fler tjänster.14 Lagen om kvalificerade elektroniska signaturer upphävdes den 1 juli 2016. I samband med detta gjordes även ändringar i ett flertal författningar som tidigare innehållit hänvisningar till elektroniska signaturer i den upphävda lagen, till att i stället hänvisa till elektroniska underskrifter enligt eIDAS-förordningen.

Tjänstedirektivet

Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirek- tivet) syftar bl.a. till att underlätta utövandet av etableringsfriheten för tjänsteleverantörer och den fria rörligheten för tjänster. För att uppnå det ställs i direktivet ett flertal krav på medlemsstaterna. Direktivet är ett exempel på hur det på EU-nivå ställs krav på med- lemsstaterna att vidta åtgärder för att underlätta den fria rörligheten och där det ställs uttryckliga krav på att förfaranden ska kunna genomföras elektroniskt. Användning av elektroniska underskrifter kan då bli aktuellt. Signaturdirektivet får visserligen ses som före- gångaren till eIDAS-förordningen, men förordningen innehåller också aspekter som introducerades i tjänstedirektivet och tillhörande kom- missionsbeslut.

Medlemsstaterna ska enligt artikel 6 i tjänstedirektivet inrätta s.k. kontaktpunkter, genom vilka en tjänsteleverantör ska kunna fullgöra förfaranden och formaliteter. I Sverige fyller webbplatsen Verksamt.se den funktionen som kontaktpunkt för tjänsteföretag.15 Vidare ställer direktivet krav på att förfaranden och formaliteter för att få tillträde till och utöva en tjänsteverksamhet ska kunna fullgöras enkelt, på distans och på elektronisk väg via den berörda kontaktpunkten samt med de behöriga myndigheterna i den aktuella medlemsstaten. I enlig- het med syftet att underlätta utövande av fri rörlighet är utgångs- punkten att krav som ställs inte får vara diskriminerande gentemot tjänsteföretag i andra medlemsstater.

14COM(2012) 238 final av den 4 juni 2012.

15www.verksamt.se/om-oss/om-verksamt/kontaktpunkt-for-tjansteforetag (hämtad 2021-01-13).

78

År 2009 antog kommissionen ett beslut för att komplettera tjänste- direktivet.16 Syftet var enligt skäl 3 i beslutets ingress att underlätta användningen av elektroniska förfaranden. I beslutet konstateras att förfaranden på elektronisk väg bör bygga på enkla lösningar, även när det gäller användningen av elektroniska signaturer, eftersom det underlättar gränsöverskridande användning. Efter en ändamålsenlig riskbedömning kan tjänsteleverantörerna enligt artikel 1.1 emeller- tid för vissa förfaranden och formaliteter åläggas att införa avance- rade elektroniska signaturer baserade på ett kvalificerat certifikat, med eller utan en säker anordning för skapande av signaturer. I syfte att underlätta gränsöverskridande användning och validering av så- dana signaturer framgick även av artikel 2.1 i beslutet att varje med- lemsstat ska upprätta en förteckning med uppgifter om de tillhanda- hållare av certifieringstjänster som utfärdar kvalificerade certifikat till allmänheten och som medlemsstaten övervakar eller ackrediterar. Den förteckning som avses är en förlaga till den förteckning som numera regleras genom eIDAS-förordningen (se mer om förteckningen i avsnitt 5.8)

5.4Allmänt om eIDAS-förordningen

5.4.1Förordningens struktur och tolkningen av dess bestämmelser

eIDAS-förordningens materiella innehåll återfinns i förordningens artiklar samt i dess bilagor, som flera av artiklarna hänvisar till (för- ordningen i dess helhet återfinns i bilaga 3 till detta delbetänkande). Bestämmelserna gäller som direkt tillämplig lagstiftning i Sverige och övriga medlemsstater. Utöver dessa bestämmelser består förord- ningen huvudsakligen av en ingress. Ingressen är uppdelad i beaktan- deled och skäl. Beaktandeledet är de led i ingressen som kommer före skälen och innehåller bl.a. hänvisningar till rättsaktens rättsliga grund. Beaktandeledet avslutas med frasen ”och av följande skäl”. Därefter följer skälen vari de viktigaste bestämmelserna i artikeldelen motiveras. Eftersom EU-förordningar i motsats till svenska lagar

16Kommissionens beslut nr 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar an- vändningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden.

79

saknar förarbeten i egentlig mening går viss ledning för hur förord- ningens bestämmelser ska tolkas att finna i skälen. Ytterst är det dock EU-domstolen som tolkar EU-rätten.17

EU-parlamentet och rådet kan ge kommissionen befogenhet att anta genomförandeakter och delegerade akter för att komplettera en förordnings bestämmelser. Sådan delegation har skett i eIDAS-för- ordningen. Syftet är enligt skäl 70 och 71 i ingressen att på ett flexi- belt och snabbt sätt kunna komplettera vissa detaljerade aspekter av förordningen samt att säkerställa enhetliga villkor för dess genom- förande.

5.4.2Förordningens syfte och tillämpningsområde

I skäl 3 i eIDAS-förordningens ingress konstateras att signatur- direktivet inte skapade ett heltäckande, gräns- och sektorsöverskri- dande regelverk för säkra, pålitliga och lättanvända elektroniska transaktioner. Syftet med förordningen är enligt artikel 1 att säker- ställa en väl fungerande inre marknad och att uppnå en lämplig säker- hetsnivå för medel för elektronisk identifiering och betrodda tjänster. Vidare syftar förordningen enligt skäl 2 i ingressen till att öka förtro- endet för elektroniska transaktioner på den inre marknaden genom att tillhandahålla en gemensam grund för ett säkert elektroniskt samspel mellan medborgare, företag och offentliga myndigheter, och därigenom öka effektiviteten hos offentliga och privata nättjänster, elektronisk affärsverksamhet och e-handel i unionen.

De områden som omfattas av förordningen är elektronisk identi- fiering och betrodda tjänster. Förordningens bestämmelser om elek- tronisk identifiering kommer inte att beröras i detta delbetänkande. Förordningen innehåller även bestämmelser som berör sådant som kan vara relevant vid användning av betrodda tjänster, exempelvis rättslig verkan av elektroniska dokument.

eIDAS-förordningen omfattar EU:s medlemsstater och har rele- vans också för EES-länderna. I detta delbetänkande använder vi oss emellertid enbart av begreppet medlemsstater när vi refererar till de länder som omfattas av förordningens territoriella tillämpningsom- råde.

17I skrivande stund finns det endast ett avgörande från EU-domstolen med koppling till eIDAS- förordningen (Asociación de fabricantes de morcilla de Burgos, C‑309/19 P, EU:C:2020:401). Avgörandet får ses som något udda och det ger ingen direkt vägledning rörande hur förord- ningens ska tolkas.

80

5.4.3Undantag från tillämpningsområdet

I artikel 2 görs undantag från förordningens tillämpningsområde. Enligt artikel 2.2 är förordningen inte tillämplig på tillhandahållande av betrodda tjänster som till följd av nationell rätt, eller avtal mellan en avgränsad uppsättning deltagare, används inom slutna system. Det kan enligt skäl 21 i ingressen t.ex. vara system som inrättats i företag eller offentlig förvaltning för hantering av interna förfaranden. Vidare framgår av samma skäl att endast betrodda tjänster som tillhanda- hålls för allmänheten och som påverkar tredje man bör uppfylla förordningens krav. Av artikel 2.3 framgår att förordningen inte heller påverkar nationell rätt eller unionsrätt som avser ingående av avtal och deras giltighet eller andra rättsliga förfarandemässiga skyldig- heter avseende formkrav. Förordningen bör enligt skäl 21 heller inte inverka på nationella formkrav avseende offentliga register.

5.4.4Inremarknadsprincip

Syftet med eIDAS-förordningen är som tidigare nämnts att säker- ställa en väl fungerade inre marknad. Enligt artikel 26.2 i fördraget om Europeiska unionens funktionssätt ska den inre marknaden om- fatta ett område utan inre gränser, där fri rörlighet för varor, perso- ner, tjänster och kapital säkerställs i enlighet med bestämmelserna i fördragen. I artikel 4 i eIDAS-förordningen uttrycks inremarknads- principen och vad den innebär för förordningens tillämpningsområde.

Enligt artikel 4.1 får tillhandahållande av betrodda tjänster i en medlemsstat, som utförs av en tillhandahållare av betrodda tjänster som är etablerad i en annan medlemsstat, inte begränsas av skäl som omfattas av de områden som regleras i förordningen. I artikel 4.2 föreskrivs att produkter och betrodda tjänster som överensstämmer med förordningen ska omfattas av fri rörlighet på den inre marknaden.

5.4.5Svenska kompletterande bestämmelser

Som framgår av avsnitt 5.4.1 gäller eIDAS-förordningen likt andra EU-förordningar som direkt tillämplig lagstiftning i Sverige och övriga medlemsstater. Däremot behövs det ofta nationella bestämmelser som på olika sätt kompletterar en EU-förordning. I Sverige kom-

81

pletteras eIDAS-förordningen av lagen (2016:561) med komplette- rande bestämmelser till EU:s förordning om elektronisk identifiering och av förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Dessa författningar delegerar i huvudsak olika uppdrag som anges i eIDAS-förordningen kopplade till ackreditering, certifiering och tillsyn. Med stöd av lagen och förordningen får dessutom PTS och MSB meddela föreskrifter inom vissa områden.

5.4.6Översyn av eIDAS-förordningen

Kommissionen genomför för närvarande en översyn av eIDAS-för- ordningen. Av artikel 49 i förordningen framgår att en översyn över tillämpningen av förordningen ska göras och att resultaten ska rappor- teras till Europaparlamentet och rådet senast den 1 juli 2020. Arbetet är dock försenat. Kommissionen höll ett s.k. öppet samråd mellan juli och oktober 2020, där intressenter bl.a. fick möjlighet att lämna synpunkter på förordningen samt lämna förslag till hur den kan utvecklas. Kommissionen har i skrivande stund aviserat att den avser att presentera förslag under första kvartalet 2021.18

5.4.7Kort om förordningens systematik avseende betrodda tjänster

Iavsnitt 5.5–5.9 redogörs för eIDAS-förordningens bestämmelser om betrodda tjänster. Den övergripande systematiken kan emellertid sammanfattas på följande sätt. Förordningen reglerar dels tillhanda- hållarna av de betrodda tjänsterna, dels de betrodda tjänsterna som sådana. Förordningen innehåller också bestämmelser som berör den rättsliga statusen för det som skapas med betrodda tjänster, exem- pelvis elektroniska underskrifters rättsverkan. Förordningen bör för- stås så att tillhandahållarnas roll är att genom betrodda tjänster agera tredje part som skapar tillit i en transaktion mellan två eller fler parter.

Tillhandahållare av betrodda tjänster och de betrodda tjänsterna kan vara icke kvalificerade eller kvalificerade. Förordningen inne- håller ett antal krav och skyldigheter som är gemensamma för båda dessa kategorier. Det är enbart kvalificerade tillhandahållare som får

18COM(2020) 690 final av den 19 oktober 2020, bilaga 1.

82

tillhandahålla kvalificerade betrodda tjänster. Kvalificerade tillhanda- hållare och tjänster omfattas av kompletterande och mer detaljerade krav och skyldigheter än icke kvalificerade. Många av kraven kan på olika sätt härledas till säkerhet i vid bemärkelse. Syftet med dessa krav är enligt skäl 28 i förordningens ingress att på så sätt säkerställa en hög nivå av säkerhet oavsett vilken typ av kvalificerad betrodd tjänst eller produkt som används eller tillhandahålls, vilket i sin tur bl.a. är avsett att öka förtroendet för den inre marknaden.19 För att bli kvalificerad tillhandahållare krävs att ett tillsynsorgan i en med- lemsstat beviljar tillhandahållaren status som kvalificerad. Tillsyns- organen gör, innan de beviljar sådan status, en bedömning om till- handahållaren och de betrodda tjänster den tillhandahåller lever upp till kraven i förordningen.

Enligt skäl 27 bör förordningen vara teknikneutral och den rätts- liga verkan den medför bör vara möjlig att uppnå med alla typer av tekniska medel, förutsätt att kraven i förordningen är uppfyllda.

5.5Betrodda tjänster

5.5.1De funktioner som utgör betrodda tjänster

Definitionen av betrodda tjänster framgår av artikel 3.16 i förord- ningen och presenteras i avsnitt 3.1. I det nu aktuella avsnittet och några av de följande avsnitten finns vissa upprepningar från tidigare kapitel. Syftet är att göra dessa avsnitt lättare att förstå.

Betrodda tjänster är enkelt uttryckt elektroniska tjänster som erbjuder vissa utpekade funktioner kopplade till elektroniska under- skrifter, elektroniska stämplar, elektroniska tidsstämplingar eller cer- tifikat för autentisering av webbplatser. Dessutom är elektroniska tjänster för rekommenderade leveranser en betrodd tjänst i sig. För att exemplifiera är en tjänst som skapar en avancerad elektronisk underskrift en betrodd tjänst. Den avancerade elektroniska under- skriften som skapas, dvs. resultatet av tjänsten, är emellertid inte en betrodd tjänst enligt förordningens definition.

19Med produkt i detta sammanhang avses enligt artikel 3.21 i förordningen maskinvara eller programvara, eller relevanta komponenter i maskinvara eller programvara, som är avsedda att användas för tillhandahållande av betrodda tjänster.

83

De funktioner som, utöver elektroniska tjänster för rekommen- derade leveranser, utgör betrodda tjänster är skapande, kontroll, validering och bevarande.

Skapande och kontroll

Funktionerna skapande och kontroll definieras inte i förordningen. Innebörden av skapande är däremot tämligen uppenbar enligt vår mening. Av artikel 3.22 framgår vidare att en anordning för under- skriftsframställning är en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift.

Vad kontroll innebär inom ramen för förordningen är däremot mer oklart. I den engelska språkversionen av förordningen benämns kontroll som ”verification”. Oklarheten kring denna tjänst uppstår i jämförelsen med den nedan beskrivna funktionen validering som innebär kontroll och bekräftelse av giltighet. Vi har inte identifierat någon förekomst av att enbart kontroll förekommer som en enskild betrodd tjänst även om det enligt förordningen är möjligt.

Validering

Funktionen validering definieras i artikel 3.41 i förordningen som en process genom vilken en elektronisk underskrifts giltighet kontrol- leras och bekräftas.

Med validering avses alltså en tjänst som kompletterar använd- ningen av t.ex. elektroniska underskrifter och som kontrollerar att en sådan underskrift är äkta. Detaljerade bestämmelser om validering av kvalificerade elektroniska underskrifter finns i artikel 32. Av arti- kel 40 följer att bl.a. artikel 32 på motsvarande sätt ska gälla för vali- dering och bevarande av kvalificerade elektroniska stämplar. I syfte att illustrera hur valideringen av en elektronisk underskrift går till beskrivs processen nedan på ett övergripande sätt.

Genom valideringen ska alla de komponenter som har använts för att skapa underskriften säkras. Detta innebär bl.a. kontroll av giltig- het för certifikatet, att valideringsuppgifterna överensstämmer med de uppgifter som lämnats till den förlitande parten och att den under- tecknade eller stämplade informationen inte har förändrats sedan den skrevs under.

84

Valideringen innebär även att ett flertal olika kontroller görs för att säkerställa att en underskrift är äkta och oförvanskad. Dessa kon- troller görs normalt av en intern tjänst i en organisation eller av en, kvalificerad eller icke kvalificerad, betrodd tjänst som tillhandahålls av tredje part. Valideringstjänsten lämnar då vidare ett resultat av valideringen som är undertecknat eller stämplat av valideringstjänsten.

De kontroller som omfattas av valideringen är att certifikatet som underskriften skapats med är utfärdat av en utfärdare som är betrodd, av den egna organisationen eller finns i förteckningen över kvalifice- rade tillhandahållare av kvalificerade elektroniska underskrifter (se mer om förteckningen i avsnitt 5.8). I eIDAS-förordningen finns även krav gällande kvalificerade valideringstjänster.

Bevarande

Begreppet bevarande som används i artikel 3.16 c definieras inte ut- tryckligen i förordningen. Av skäl 61 framgår dock att långsiktigt bevarande av uppgifter bör säkerställas genom förordningen, för att säkerställa den rättsliga giltigheten hos elektroniska underskrifter och elektroniska stämplar över längre tidsperioder samt garantera att de kan valideras oavsett kommande tekniska förändringar. Ledning för tolkning av begreppet kan även hämtas från artikel 34, där det föreskrivs att en kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter ska göra det möjligt att förlänga under- skriftens tillförlitlighet utöver perioden för teknisk giltighet. Det bör noteras att innebörden av begreppet bevarande i förordningen inte överensstämmer med innebörden av begreppet i svensk arkiv- lagstiftning (se mer om detta i avsnitt 8.5.2).

5.5.2Elektroniska underskrifter

I artikel 3.10 i förordningen definieras en elektronisk underskrift som uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av under- tecknaren för att skriva under. Detta är den grundläggande definitio- nen av elektronisk underskrift och det är således en elektronisk under- skrift som varken är avancerad eller kvalificerad. I syfte att förtydliga när denna nivå avses väljer vi att inom ramen för detta delbetänkande

85

benämna detta som en enkel elektronisk underskrift. Detta är dock inget begrepp som förekommer i förordningen.

Avancerade elektroniska underskrifter

Utöver den grundläggande definitionen av elektroniska underskrifter definierar förordningen två andra typer av underskrifter: avancerade och kvalificerade. På dessa ställs krav som går utöver grunddefinitionen. En avancerad elektronisk underskrift ska uppfylla de krav som upp- ställs i artikel 26:

a)Den ska vara unikt knuten till undertecknaren.

b)Undertecknaren ska kunna identifieras genom den.

c)Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll.

d)Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

Ytterligare krav än de som framgår ovan ställer förordningen inte upp avseende avancerade elektroniska underskrifter. Förordningen föreskriver inte heller hur det går att leva upp till dessa krav tekniskt. Som nämnts tidigare är förordningen tänkt att vara teknikneutral. Av skäl 27 framgår vidare att den rättsliga verkan som förordningen medför bör vara möjlig att uppnå med alla typer av tekniska medel, förutsatt att kraven i förordningen är uppfyllda. Det är mot bak- grund av det möjligt att med olika tekniska lösningar leva upp till kraven i artikel 26. Kommissionen har dock i ett genomförande- beslut pekat ut ett antal tekniska specifikationer avseende elektroniska underskrifter.20 Medlemsstaterna ska erkänna avancerade elektroniska underskrifter som är i enlighet med dessa specifikationer (se mer om detta i avsnitt 5.12.1). Beslutet ska dock inte tolkas som att det ute-

20Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fast- ställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

86

slutande är dessa tekniska specifikationer som kan användas för att en avancerad elektronisk underskrift ska uppfylla kraven i artikel 26.

Kvalificerade elektroniska underskrifter

För att en elektronisk underskrift ska vara kvalificerad ställs ytter- ligare krav. En sådan underskrift ska utöver att uppfylla samma krav som en avancerad elektronisk underskrift därtill skapas med en kvalificerad anordning för underskriftsframställning samt baseras på ett kvalificerat certifikat för elektroniska underskrifter.

De detaljerade kraven återfinns i bilaga I till förordningen. Där framgår att sådana certifikat ska innehålla bl.a. uppgifter om den kvali- ficerade tillhandahållare av betrodda tjänster som utfärdar certifikaten, undertecknarens namn eller en pseudonym, uppgifter om när certi- fikatet börjar respektive upphör att gälla samt certifikatets identi- fieringskod, som måste vara unik för den aktuella kvalificerade till- handahållaren av betrodda tjänster. Kommissionen får med stöd av artikel 28.6 i genomförandeakter fastställa referensnummer till stan- darder för kvalificerade certifikat för elektroniska underskrifter. I dagsläget har sådana genomförandeakter inte antagits.

Vidare finns det i artikel 24.1 krav på kvalificerade tillhandahål- lare att, när de utfärdar ett kvalificerat certifikat för en betrodd tjänst, på lämpligt sätt och i enlighet med nationell rätt kontrollerar iden- titeten och i förekommande fall eventuella särskilda attribut för den fysiska eller juridiska person till vilken det kvalificerade certifikatet utfärdas. Det finns i dagsläget inga bestämmelser i svenska författ- ningar som utgör ”nationell rätt” i detta avseende. Informationen kan kontrolleras genom fysisk närvaro av den fysiska personen eller fysisk närvaro av en behörig företrädare för en juridisk person. Kon- troll kan också under vissa förutsättningar ske på distans med hjälp av medel för elektronisk identifiering eller genom ett certifikat för en kvalificerad elektronisk underskrift eller stämpel som har utfär- dats genom fysisk närvaro eller på distans. Informationen kan även kontrolleras med hjälp av andra identifieringsmetoder som erkänns på nationell nivå och som erbjuder garantier som är likvärdiga med fysisk närvaro.

87

Betrodda tjänster – teknik, juridik och standarderSOU 2021:9

Anordningar för underskriftframställning

En anordning för underskriftframställning definieras i artikel 3.22 som en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift. Anordningen är en skyddad miljö för lagring och användning av privata nycklar som smarta kort eller s.k. HSM-modul21. Förordningen innehåller endast krav på kvalificerade sådana anordningar. Dessa ska uppfylla kraven i bilaga

IItill förordningen. I bilagan finns ett flertal krav, bl.a. att kvalifi- cerade anordningar för skapande av elektroniska underskrifter genom lämpliga tekniker och förfaranden ska säkerställa att de uppgifter för skapande av elektroniska underskrifter som används för att skapa elektroniska underskrifter i praktiken endast kan förekomma en gång och att den elektroniska underskriften på ett tillförlitligt sätt är skyddad mot förfalskning med den teknik som för närvarande finns tillgänglig.

Anordningar för skapande av kvalificerade elektroniska under- skrifter och stämplar ska certifieras av offentliga eller privata organ

21Hardware Security Module är benämningen för en skyddad enhet för lagring och användning av krypteringsnycklar.

88

som utsetts av medlemsstaterna. I Sverige har Sveriges Certifierings- organ för IT-säkerhet vid Försvarets materielverk (CSEC) den upp- giften.22 Kommissionen har i ett genomförandebeslut fastställt de standarder för säkerhetsbedömning av informationsteknikprodukter som gäller för certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter eller kvalificerade anordningar för ska- pande av elektroniska stämplar.23 I Sverige får PTS med stöd av 3 § första stycket förordningen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering meddela föreskrifter om certifiering av anordningar för skapande av kvalificerade elektro- niska underskrifter och anordningar för skapande av kvalificerade elektroniska stämplar. Enligt 3 § andra stycket samma förordning får MSB meddela föreskrifter om säkerhetsegenskaper som sådana anord- ningar ska uppfylla. I dagsläget har PTS och MSB inte meddelat sådana föreskrifter.

Validering och bevarande av kvalificerade elektroniska underskrifter

Som framgår ovan innehåller eIDAS-förordningen även krav som avser validering av kvalificerade elektroniska underskrifter. Enligt artikel 32.1 ska en kvalificerad elektronisk underskrifts giltighet be- kräftas om vissa förutsättningar är uppfyllda, bl.a. att det certifikat som stöder underskriften vid tidpunkten för undertecknandet var ett kvalificerat certifikat för elektroniska underskrifter som överens- stämmer med förordningens bilaga I. Av artikel 32.2 framgår att det system som används för att validera den kvalificerade elektroniska underskriften ska ge den förlitande parten det korrekta resultatet av valideringsförfarandet och göra det möjligt för den förlitande parten att upptäcka eventuella problem som är relevanta för säkerheten. Kommissionen får med stöd av artikel 32.3 genom genomförande- akter fastställa referensnummer till standarder för validering av kvali- ficerade elektroniska underskrifter. Sådana genomförandeakter har i skrivande stund inte antagits.

225 § andra stycket förordningen (2007:854) med instruktion för Försvarets materielverk.

23Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektro- niska transaktioner på den inre marknaden.

89

Krav avseende kvalificerade valideringstjänster för kvalificerade elektroniska underskrifter finns i artikel 33.1. Även för kvalificerade valideringstjänster har kommissionen, med stöd av artikel 33.2, möj- lighet att anta genomförandeakter som fastställer referensnummer för standarder för kvalificerade valideringstjänster. Sådana genom- förandeakter har i dagsläget inte antagits.

I artikel 34 ställs krav på kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter. Sådana tjänster får som fram- går ovan endast tillhandahållas av kvalificerade tillhandahållare av be- trodda tjänster som använder förfaranden och tekniker som gör det möjligt att förlänga den kvalificerade elektroniska underskriftens till- förlitlighet utöver perioden för teknisk giltighet. Utöver det innehåller förordningen inga bestämmelser om bevarande, utöver att bevarande av elektroniska underskrifter, stämplar eller certifikat med anknyt- ning till dessa tjänster definieras som en betrodd tjänst (artikel 3.16 c). Kommissionen får enligt artikel 34.2 genom genomförandeakter fastställa referensnummer till standarder för kvalificerade tjänster för bevarande av kvalificerade elektroniska underskrifter men sådana genomförandeakter har för närvarande inte antagits.

5.5.3Elektroniska stämplar

Sett till både den bakomliggande tekniken och utformningen av de bestämmelser som reglerar elektroniska stämplar och elektroniska underskrifter finns det stora likheter mellan dessa två typer av utställar- verifikationer. Den avgörande skillnaden utgörs av vem som skapar en elektronisk underskrift respektive stämpel. Elektroniska stämplar skapas av juridiska personer (artikel 3.24), till skillnad från elektro- niska underskrifter som skapas av fysiska personer (artikel 3.9). En elektronisk stämpel definieras i förordningen som uppgifter i elek- tronisk form som är fogade eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa den senares ursprung och integ- ritet (artikel 3.25). Definitionen är snarlik den för elektroniska under- skrifter men det finns alltså inte någon undertecknare när det gäller stämplar.

I likhet med vad som gäller för elektroniska underskrifter finns det i förordningen olika nivåer av elektroniska stämplar. Utöver grund- definitionen finns avancerade elektroniska stämplar samt kvalificerade

90

elektroniska stämplar. Systematiken när det gäller kraven är dess- utom densamma. En avancerad elektronisk stämpel ska leva upp till kraven i artikel 36:

a)Den ska vara knuten uteslutande till skaparen av stämpeln.

b)Skaparen av stämpeln ska kunna identifieras genom det.

c)Det ska vara skapat på grundval av uppgifter för skapande av elek- troniska stämplar som stämpelns skapare med hög grad av tillför- litlighet under sin kontroll kan använda för skapande av elektro- niska stämplar.

d)Den ska vara kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

En kvalificerad elektronisk stämpel ska enligt artikel 3.27, i likhet med vad som gäller för underskrifter, leva upp till kraven på en avan- cerad elektronisk stämpel samt skapas med hjälp av en kvalificerad anordning för skapande av elektroniska stämplar och som är baserat på ett kvalificerat certifikat för elektroniska stämplar. Kraven för stämplar är i stora delar desamma som för elektroniska underskrifter, med den skillnaden att kraven för stämplarna i relevanta delar hän- visar till skaparen av stämpeln i stället för undertecknaren. Ett illu- strerande exempel är kraven på kvalificerade certifikat för elektroniska stämplar som fastställs i bilaga III till eIDAS-förordningen. Den enda skillnaden gentemot underskrifter är att det för stämplar finns krav på att information om skaparen av stämpeln ska finnas (namn och i förekommande fall registreringsnummer) medan det för underskrifter ska finnas information om undertecknaren.

5.5.4Elektronisk tidsstämpling

I förordningen definieras elektronisk tidsstämpling i artikel 3.33 som uppgifter i elektronisk form som binder andra uppgifter i elektronisk form till en viss tidpunkt och därmed utgör bevis för att de senare uppgifterna existerade vid den tidpunkten. Betrodda tjänster som avser tidsstämpling kan vara kvalificerade eller icke kvalificerade. För icke kvalificerade tjänster innehåller förordningen inga krav utöver definitionen att förhålla sig till. Kvalificerad elektronisk tidsstämp- ling ska däremot enligt artikel 42 uppfylla följande krav:

91

a)Den ska binda datumet och tiden till uppgifter så att möjligheten att uppgifterna ändras utan att det går att upptäcka rimligtvis kan uteslutas.

b)Den ska vara grundad på en korrekt tidskälla som är kopplad till samordnad universaltid.

c)Den ska vara undertecknad med hjälp av en avancerad elektronisk underskrift eller förseglad med en avancerad elektronisk stämpel från den kvalificerade tillhandahållaren av betrodda tjänster eller genom en likvärdig metod.

När det kommer till det som i punkt c anges om att använda en lik- värdig metod framgår av skäl 62 i förordningens ingress att innova- tion sannolikt kan leda till ny teknik som kan säkerställa en likvärdig säkerhetsnivå för tidsstämpling. Om en annan metod än avancerade elektroniska stämplar eller avancerade elektroniska underskrifter används bör det, enligt skäl 62, åligga tillhandahållaren av betrodda tjänster att i rapporten om bedömning av överensstämmelse visa att metoden säkerställer en likvärdig säkerhetsnivå och att den är för- enlig med skyldigheterna i förordningen.

En kvalificerad elektronisk tidsstämpling ska enligt artikel 41.2 i eIDAS-förordningen omfattas av en presumtion om korrekthet hos det datum och den tid som den anger och integritet hos de uppgifter som datumet och tiden är kopplade till. Vidare ska en kvalificerad elektronisk tidsstämpling som utfärdats i en medlemsstat enligt arti- kel 41.3 erkännas som en kvalificerad elektronisk tidsstämpling i alla medlemsstater.

Kommissionen får enligt artikel 42.2 anta genomförandeakter som fastställer referensnummer till standarder för bindning av datum och tidpunkt till uppgifter och för korrekta tidskällor avseende kvalifice- rade elektroniska tidsstämplingar. Sådana genomförandeakter har i skrivande stund inte antagits.

5.5.5Certifikat för autentisering av webbplatser

Ett certifikat för autentisering av webbplatser definieras i artikel 3.38 i förordningen som ett intyg som gör det möjligt att autentisera en webbplats och koppla webbplatsen till den fysiska eller juridiska person som certifikatet utfärdats för.

92

Även för autentisering av webbplatser kan certifikaten, och i för- längningen tjänsterna, vara kvalificerade eller icke kvalificerade. Inga särskilda bestämmelser, utöver definitionen, finns för de icke kvali- ficerade certifikaten. Krav som kvalificerade certifikat för autentisering av webbplatser ska uppfylla finns emellertid. Dels ska ett kvalificerat certifikat utfärdas av en kvalificerad tillhandahållare av betrodda tjänster, dels uppfylla kraven i bilaga IV till förordningen (artikel 3.39 samt artikel 45). Kommissionen får med stöd av artikel 45.2 genom genomförandeakter fastställa referensnummer till standarder för kva- lificerade certifikat för autentisering av webbplatser. Sådana genom- förandeakter har i dagsläget inte antagits.

5.5.6Elektroniska tjänster för rekommenderade leveranser

Den sista typen av betrodda tjänster är elektroniska tjänster för re- kommenderade leveranser. En sådan tjänst gör, enligt definitionen i artikel 3.36 i förordningen, det möjligt att överföra uppgifter mellan tredje män på elektronisk väg och tillhandahåller bevis avseende de överförda uppgifternas hantering, inklusive bevis för uppgifternas sänd- ning och mottagande, och som skyddar överförda uppgifter mot risken för förlust, stöld, skada eller otillåtna ändringar. Ytterligare vägled- ning om hur termen ska tolkas och tillämpas ger inte förordningen. Däremot framgår av skäl 66 att det är av avgörande betydelse att det föreskrivs en rättslig ram för att främja gränsöverskridande erkän- nande mellan befintliga nationella rättssystem för elektroniska tjäns- ter för rekommenderade leveranser. Vidare framgår av samma skäl- text att den ramen skulle kunna öppna nya marknadsmöjligheter för unionens tillhandahållare av betrodda tjänster att erbjuda nya pan- europeiska tjänster för elektroniska tjänster för rekommenderade leveranser.

Elektroniska tjänster för rekommenderade leveranser kan vara kvalificerade eller icke kvalificerade. Bestämmelser utöver definitio- nen för icke kvalificerade tjänster saknas i förordningen. De krav som ställs på kvalificerade elektroniska tjänster för rekommenderade leveranser är bl.a. att de ska tillhandahållas av en eller flera kvalifice- rade tillhandahållare av betrodda tjänster, att de med hög grad av till- förlitlighet ska säkerställa avsändarens identitet och att de ska säker- ställa adressatens identitet innan uppgifterna levereras (artikel 44.1).

93

Om uppgifterna överförs mellan två eller flera kvalificerade tillhanda- hållare av betrodda tjänster ska kraven gälla för alla involverade kva- lificerade tillhandahållare av betrodda tjänster.

Kommissionen får enligt artikel 44.2 anta genomförandeakter som fastställer referensnummer till standarder för processer för att sända och ta emot uppgifter avseende kvalificerade elektroniska tjänster för rekommenderade leveranser. Sådana genomförandeakter har för närvarande inte antagits.

5.6Tillhandahållare av betrodda tjänster

5.6.1Kvalificerade och icke kvalificerade tillhandahållare

Tillhandahållare av betrodda tjänster har en central roll i eIDAS-för- ordningen. En tillhandahållare av betrodda tjänster är enligt artikel 3.19 i eIDAS-förordningen en fysisk eller juridisk person som tillhanda- håller en eller flera betrodda tjänster, antingen i egenskap av kvalifi- cerade eller icke kvalificerade tillhandahållare av betrodda tjänster. Som definitionen anger kan en tillhandahållare vara kvalificerad eller icke kvalificerad. Skillnaden mellan de båda framgår bl.a. av arti- kel 3.20, där det föreskrivs att en kvalificerad tillhandahållare är en tillhandahållare av betrodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalifi- cerad av tillsynsorganet.

5.6.2Gemensamma säkerhetskrav och krav på incidentrapportering

Det finns anledning att hålla isär kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster eftersom de kvalificerade till- handahållarna omfattas av betydligt fler bestämmelser och krav än de icke kvalificerade. Vissa av bestämmelserna i eIDAS-förordningen är emellertid gemensamma oavsett tillhandahållarens status.

I artikel 19.1 föreskrivs att tillhandahållare av betrodda tjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att han- tera riskerna för säkerheten hos de betrodda tjänster som de till- handahåller. Åtgärderna ska säkerställa att säkerhetsnivån står i pro- portion till graden av risk och den senaste tekniska utvecklingen ska

94

beaktas. Åtgärder ska i synnerhet vidtas för att förhindra eller mini- mera säkerhetsincidenters inverkan samt för att informera berörda parter om de negativa effekterna av eventuella sådana incidenter.

Enligt artikel 19.2 ska tillhandahållare av betrodda tjänster, utan otillbörligt dröjsmål och under alla omständigheter inom 24 timmar efter upptäckt, underrätta tillsynsorganet och i förekommande fall andra relevanta organ, såsom det behöriga nationella organet för informationssäkerhet eller dataskyddsmyndigheten, om alla säker- hetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de person- uppgifter som ingår i denna. När det är troligt att säkerhetsincidenten eller integritetsförlusten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhanda- hållits, ska tillhandahållaren av betrodda tjänster utan onödigt dröjs- mål även underrätta den fysiska eller juridiska personen om säker- hetsincidenten eller integritetsförlusten. När det är lämpligt, särskilt om säkerhetsincidenten eller integritetsförlusten rör två eller flera medlemsstater, ska det underrättade tillsynsorganet informera tillsyns- organen i övriga berörda medlemsstater samt ENISA. Det under- rättade tillsynsorganet ska informera allmänheten eller kräva att till- handahållaren av betrodda tjänster gör det, om den slår fast att ett avslöjande av säkerhetsincidenten eller integritetsförlusten ligger i allmänhetens intresse. Enligt artikel 19.4 får kommissionen anta genomförandeakter som ytterligare specificerar säkerhetsåtgärder eller fastställer format, förfaranden och tidsfrister avseende säker- hetsincidenter och liknande. Sådana genomförandeakter har emeller- tid i skrivande stund inte antagits.

I december 2020 presenterade kommissionen sitt förslag till revi- derat direktiv om åtgärder för en hög nivå av cybersäkerhet inom uni- onen.24 Förslaget är avsett att ersätta det nuvarande s.k. NIS-direk- tivet (Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nät- verks- och informationssystem i hela unionen) och innebär även att artikel 19 i eIDAS-förordningen upphävs. Tillhandahållare av be- trodda tjänster är i dagsläget undantagna från direktivets tillämp- ningsområde.25 Betrodda tjänster skulle genom förslaget omfattas av direktivets bestämmelser avseende säkerhetsåtgärder och incident-

24COM(2020) 823 final av 16 december 2020.

256 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

95

rapportering. Innehållet i dessa bestämmelser är i stora delar likt det som framgår av artikel 19 i eIDAS-förordningen, men de är mer detaljerade än den nuvarande regleringen. Detta skulle således inne- bära att tillhandahållare av betrodda tjänster omfattas av samma krav som tillhandahållare av andra i direktivet utpekade tjänster.

5.6.3Skillnader i skadeståndsansvar och bevisbörda

Av artikel 13.1 framgår att tillhandahållare av betrodda tjänster om- fattas av skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet genom under- låtenhet att uppfylla kraven i förordningen. Placeringen av bevis- bördan skiljer sig åt beroende på om tillhandahållaren är kvalificerad eller inte. Presumtionen vid skada är att bevisbördan ligger på till- handahållaren om denne är kvalificerad. Det är således den kvalifice- rade tillhandahållaren som ska bevisa att den skada som uppstått har uppstått utan dennes avsikt eller oaktsamhet. Om tillhandahållaren är icke kvalificerad vilar i stället bevisbördan på den som gör gällande att skada har uppstått.

5.6.4Krav på kvalificerade tillhandahållare

Som tidigare nämnts omfattas kvalificerade tillhandahållare av be- trodda tjänster av betydligt fler krav än icke kvalificerade.

96

Figur 5.3 Etablering av kvalificerad tillhandahållare av betrodda tjänster

1. Ackreditering

För att få status som kvalificerad tillhandahållare krävs enligt arti- kel 21.1 en anmälan till ett tillsynsorgan (se figur 5.3 för hela gången vid sådan etablering). Tillhandahållaren ska i samband med anmälan även lämna in en rapport om överensstämmelsebedömning som utfär- dats av ett organ för bedömning av överensstämmelse. Bedömningen av överenstämmelse ska omfatta både tillhandahållaren som sådan och de betrodda tjänster som tillhandahållaren vill ska vara kvalificerade. Ett sådant organ ska enligt artikel 3.18 vara ackrediterat för att göra bedömningar av sådana tillhandahållare och de tjänster de tillhanda- håller. I Sverige ackrediterar den statliga myndigheten Styrelsen för ackreditering och teknisk kontroll (Swedac) sådana organ. PTS får med stöd av 2 § förordningen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstäm- melse, hur bedömningar av överensstämmelse ska göras samt rappor- tering av bedömningar av överensstämmelse. I skrivande stund har sådana föreskrifter inte meddelats.

Tillsynsorganet ska enligt artikel 21.2 kontrollera om tillhanda- hållaren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förordningen. Även inom detta område har kommissionen enligt artikel 21.4 möjlighet att anta genomförandeakter, men sådana genomförandeakter har i dagsläget inte antagits. Det har i sin tur lett

97

till att de nationella tillsynsorganen själva, på olika sätt, har fått be- stämma hur bedömningen ska göras (se mer om detta i avsnitt 5.11). Om tillsynsorganet kommer fram till att tillhandahållaren och de betrodda tjänster som denne tillhandahåller uppfyller kraven i förord- ningen ska organet bevilja tillhandahållaren status som kvalificerad tillhandahållare av betrodda tjänster. Detsamma gäller de tjänster som den tillhandahåller. I samband med det ska den aktuella medlems- statens förteckning över kvalificerade tillhandahållare och betrodda tjänster, som avses i artikel 22.1 i förordningen, uppdateras så att tillhandahållaren och tjänsterna förs upp på förteckningen (se mer om förteckningarna i avsnitt 5.8).

Uttryckliga krav som kvalificerade tillhandahållare har att förhålla sig till finns i artikel 24. Kraven avser primärt tillhandahållaren som sådan och flera av dem har starka kopplingar till de certifikat som ut- färdas (se avsnitt 5.5.2 för kraven avseende certifikat). Nedan följer några exempel på dessa krav.

Kvalificerade tillhandahållare ska bl.a. använda tillförlitliga system och produkter som är skyddade mot ändringar och säkerställa den tekniska säkerheten och tillförlitligheten hos den process som stöds av systemen (artikel 24.2 e). De ska också ha personal, och i förekom- mande fall underleverantörer, som har den sakkunskap, tillförlitlig- het samt de erfarenheter och kvalifikationer som behövs och som har genomgått lämplig utbildning om regler för säkerhet och skydd för personuppgifter (artikel 24.2 b). Vidare ska kvalificerade tillhanda- hållare förfoga över tillräckliga ekonomiska medel och/eller skaffa sig lämplig ansvarsförsäkring i enlighet med nationell rätt, detta med anledning av risken för ansvar vid skador (artikel 24.2 c).

Tillhandahållare som utfärdar kvalificerade certifikat ska bl.a. upp- rätta en certifikatdatabas som hålls uppdaterad (artikel 24.2 k). Om de beslutar att återkalla ett certifikat ska ett sådant återkallande regi- streras i certifikatdatabasen och offentliggöras i god tid och senast inom 24 timmar efter mottagandet av begäran (artikel 24.3).

Kommissionen får med stöd av artikel 24.5 genom genomförande- akter fastställa referensnummer till standarder för tillförlitliga system och produkter som uppfyller kraven i artikel 24.2 e och f. Sådana genomförandeakter har i skrivande stund inte antagits.

Enligt artikel 20.1 ska kvalificerade tillhandahållare minst en gång vartannat år och på egen bekostnad granskas av ett organ för bedöm- ning av överensstämmelse. Syftet med granskningen är att bekräfta

98

att tillhandahållaren och de kvalificerade betrodda tjänsterna upp- fyller kraven i förordningen. Den rapport som bedömningen resul- terar i ska överlämnas till tillsynsorganet.

5.7Tillsyn

5.7.1Tillsynsorganens uppgifter

Utöver tillhandahållare av betrodda tjänster har de nationella tillsyns- organen en viktig roll i eIDAS-förordningen. Enligt artikel 17.1 ska medlemsstaterna utse ett tillsynsorgan som är etablerat inom deras territorium som ska ansvara för tillsynsuppgifter i den medlemsstat som utsett organet. Det är även möjligt att utse ett tillsynsorgan som är etablerat i en annan medlemsstat, efter ömsesidig överenskom- melse med den medlemsstaten. I Sverige är PTS tillsynsorgan.26

eIDAS-förordningen ställer betydligt högre krav på tillsyn över kvalificerade tillhandahållare och betrodda tjänster än tillhandahållare och betrodda tjänster som är icke kvalificerade. När det gäller kvali- ficerade tillhandahållare och betrodda tjänster ska organen aktivt ut- öva tillsyn i enlighet med de bestämmelser som finns i förordningen, för att se till att tillhandahållarna och tjänsterna uppfyller kraven i förordningen. För icke kvalificerade tillhandahållare och tjänster är tillsynen emellertid händelsestyrd, således efter rapporterad incident eller vid misstanke om att reglerna inte efterlevs.

Vissa av tillsynsorganens uppgifter har nämnts i tidigare avsnitt, såsom beviljandet av status om kvalificerad tillhandahållare och han- tering av säkerhetsincidenter. Organen får dessutom när som helst granska eller begära att ett organ för bedömning av överensstämmelse gör en överensstämmelsebedömning av de kvalificerade tillhandahål- larna för att bekräfta att de och de kvalificerade betrodda tjänster som de tillhandahåller uppfyller kraven i förordningen.

Tillsynsorganen i medlemsstaterna ska samarbeta och ge varandra ömsesidigt bistånd när det behövs, exempelvis genom att förse ett annat organ med information eller bistå med tillsynsåtgärder. Det finns även ett forum för tillsynsorganen, Forum of European Super- visory Authorities for trust service providers (FESA) som bl.a. syftar

264 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

99

till att främja samarbetet mellan organen. Utöver tillsynsorgan EU:s medlemsstater deltar också tillsynsorgan från andra länder i forumet, exempelvis Turkiet och Serbien.27

5.7.2Sanktioner

I artikel 16 i eIDAS-förordningen föreskrivs att medlemsstaterna ska fastställa bestämmelser om de sanktioner som ska tillämpas vid överträdelser av förordningen. Sanktionerna ska vara effektiva, pro- portionella och avskräckande. I Sverige får PTS, i egenskap av tillsyns- myndighet, med stöd av 6 § lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering meddela de före- lägganden och förbud som behövs för efterlevnaden av eIDAS-för- ordningen och tillhörande rättsakter samt den svenska lagen och föreskrifter som har meddelats med stöd av den. Sådana förlägganden och förbud får även förenas med vite.

5.8Förteckning över tillhandahållare och betrodda tjänster

Enligt artikel 22 i eIDAS-förordningen ska varje medlemsstat upp- rätta, underhålla och offentliggöra förteckningar med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som den ansvarar för, tillsammans med uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Dessa förteckningar benämns som ”trusted list” i den engelska språkversionen av förordningen och det är även vanligt att den engelska termen används i Sverige.28 Vi föreslår att förteckningen i Sverige ska benämnas tillitsförteckning (se av- snitt 8.3.2). Medlemsstaterna ska på ett säkert sätt upprätta, under- hålla och offentliggöra elektroniskt undertecknade eller förseglade förteckningar i en form som lämpar sig för automatiserad behand- ling. Kommissionen har i ett genomförandebeslut fastställt tekniska minimispecifikationer och format för förteckningarna.29 Syftet med

27www.fesa.eu/members.html (hämtad 2021-01-25).

28Se t.ex. Dir. 2020:27 s.2.

29Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fast- ställande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning

100

förteckningarna är det ska gå att kontrollera vilka tillhandahållare på marknaden som är kvalificerade samt se vilka betrodda tjänster de tillhandahåller.

I Sverige tillhandahålls förteckningen, i enlighet med 5 § förord- ningen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, av PTS. Av samma bestämmelse framgår att kvalificerade tillhandahållare och kvalificerade betrodda tjänster får vara med i förteckningen. I nuläget finns två kvalificerade tillhanda- hållare på den svenska förteckningen.

Kommissionen tillhandahåller ett webbverktyg, Trusted List Browser, som gör det möjligt att söka i alla medlemsstaters förteck- ningar.30

Av kommissionens genomförandebeslut framgår av artikel 2 att också icke kvalificerade tillhandahållare av betrodda tjänster får föras upp på förteckningen tillsammans med information om de icke kva- lificerade betrodda tjänster de tillhandahåller. Det är frivilligt för med- lemsstaterna att göra det och det sker då på ”nationell nivå” (skäl 4). Det ska tydligt anges vilka tillhandahållare av betrodda tjänster som inte är kvalificerade och de icke kvalificerade betrodda tjänster de tillhandahåller (se mer om detta i avsnitt 7.6). Vissa medlemsstater har valt att föra upp icke kvalificerade tillhandahållare på sina respektive förteckningar.31

5.9Rättslig verkan

Förordningen innehåller ett flertal bestämmelser om rättslig verkan. Till att börja med föreskrivs i artikel 25.1, 35.1, 41.1 respektive 46 att elektroniska underskrifter, elektroniska stämplar, elektroniska tids- stämplingar och elektroniska dokument inte får förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att de har elektronisk form eller, med undantag för elek- troniska dokument, för att de inte lever upp till kraven för att vara kvalificerade. För elektroniska tjänster för rekommenderade leve- ranser gäller enligt artikel 43.1 att uppgifter som sänds och tas emot genom en sådan tjänst inte får förvägras rättslig verkan eller giltighet

(EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden.

30https://webgate.ec.europa.eu/tl-browser/ (hämtad 2021-01-13).

31Bl.a. Danmark och Ungern.

101

som bevis vid rättsliga förfaranden enbart på grund av att de har elektronisk form eller för att de inte uppfyller kraven på den kvalifi- cerade elektroniska tjänsten för rekommenderade leveranser. Inne- börden av den senare skrivningen är något svårtolkad. Den torde emellertid innebära att uppgifterna inte får förvägras rättslig verkan enbart på grund av att tjänsten som de har sänts eller tagits emot med inte är kvalificerad.

För vissa tjänster finns dessutom egna bestämmelser om tjänsterna är kvalificerade. I artikel 25.2 föreskrivs att en kvalificerad elektronisk underskrift ska ha motsvarande rättsliga verkan som en handskriven underskrift. Denna bestämmelse förtjänar att belysas ytterligare efter- som det under vårt kartläggningsarbete visat sig att det finns olika tolkningar av dess innebörd. Signaturdirektivet innehöll, som fram- går av avsnitt 5.3, också en artikel om rättslig verkan för elektroniska signaturer. Av artikeln framgick att medlemsstaterna skulle säker- ställa att avancerade elektroniska signaturer som baseras på ett kvali- ficerat certifikat och som skapas av en säker anordning för skapande av signaturer uppfyller de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form, på samma sätt som en handskriven signatur uppfyller samma krav i förhållande till uppgifter på papper. Det skulle även säkerställas att en sådan signatur godtas som bevis vid rättsliga förfaranden. Den senare delen föranledde för svenskt vidkom- mande inga åtgärder med hänsyn till principen om fri bevisprövning.32

Vid remitteringen av den promemoria som lämnade förslag till genomförandet av signaturdirektivet menade vissa remissinstanser att innebörden av artikel 5 var att verkan av en elektronisk signatur måste jämställas med verkan av en egenhändig namnteckning. Enligt regeringens mening kunde dock inte artikeln tolkas isolerat från övriga artiklar i direktivet och att det fick anses klart att direktivet inte inom något rättsområde föreskriver att elektronisk kommuni- kation måste accepteras.33

eIDAS-förordningens bestämmelser om kvalificerade elektroniska underskrifters rättsverkan överensstämmer sett till dess sakinnehåll i stort med regleringen i signaturdirektivet. Likt artikel 5 i signatur- direktivet behöver artikel 25.2 i förordningen tolkas i relation till artikel 2.3 i förordningen där det framgår att förordningen inte på- verkar nationell rätt eller unionsrätt som avser ingående av avtal och

32Prop. 1999/2000:117 s. 56.

33A.a.

102

deras giltighet eller andra rättsliga eller förfarandemässiga skyldig- heter avseende formkrav.

I promemorian som föreslog kompletterande nationella bestäm- melser till eIDAS-förordningen avhandlades frågan om förhållandet mellan artikel 25 och nationell rätt.34 Den bedömning som gjordes där var att det inte finns några regler i svensk rätt som kan sägas för- vägra bl.a. elektroniska underskrifter eller andra betrodda tjänster rättslig verkan över huvud taget. Det konstaterades vidare att de formkrav för rättshandlingar som utesluter elektronisk kommunika- tion är uttryckligen tillåtna enligt artikel 2.3 i eIDAS-förordningen. Det anges där att förordningen inte påverkar nationell rätt eller unionsrätt som avser ingående av avtal och deras giltighet eller andra rättsliga eller förfarandemässiga skyldigheter avseende formkrav. Gällande kravet i artikel 25.2 om att en kvalificerad elektronisk under- skrift ska ha motsvarande rättsliga verkan som en handskriven under- skrift framfördes att detta i sak överensstämmer med vilken verkan medlemsstaterna ska säkerställa att kvalificerade elektroniska signa- turer hade enligt artikel 5.1 a i signaturdirektivet. Förordningen före- skriver enligt promemorian inte att elektronisk kommunikation måste accepteras inom något rättsområde och innebörden av artikel 1 och 2.3 måste anses vara att det även fortsättningsvis är tillåtet för medlemsstaterna att ha formkrav på egenhändiga underskrifter som utesluter användning av elektroniska underskrifter. Artikel 25.2 i för- ordningen får därmed enligt promemorian tolkas på så sätt att om det är tillåtet att uppfylla ett formkrav med elektroniska rutiner måste kvalificerade elektroniska underskrifter alltid godtas. Vi delar den bedömningen för det fall en myndighet inte anvisar användning av en e-tjänst (se mer om detta i avsnitt 5.10). I förarbetena till lagen med kompletterande bestämmelser till EU:s förordning om elektro- nisk identifiering behandlas inte frågan utöver att lagstiftaren instäm- mer i promemorians bedömning att artikel 25 inte bedöms behöva någon kompletterande bestämmelse.35

Vidare finns i eIDAS-förordningen för kvalificerade tjänster för elektroniska stämplar (artikel 35.2), elektroniska tidsstämplingar (arti- kel 41.2) och elektroniska tjänster för rekommenderade leveranser (artikel 43.2) också regler om presumtion om integritet och korrekt-

34Promemoria – Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering, s. 56.

35Prop. 2015/16:72 s. 43.

103

het. En kvalificerad elektronisk stämpel ska t.ex. enligt ovan nämnd artikel omfattas av en presumtion om integritet hos de uppgifter som den kvalificerade elektroniska stämpeln är kopplad till och om att de har korrekt ursprung.

Slutligen finns bestämmelser om att kvalificerade elektroniska underskrifter och stämplar som baseras på ett kvalificerat certifikat som utfärdats i en medlemsstat ska erkännas som kvalificerad elektronisk underskrift eller stämpel i alla andra medlemsstater (artikel 25.3 och 35.3). Detsamma gäller för en kvalificerad elektronisk tidsstämpling (artikel 41.3).

5.10Vilka krav ställer eIDAS-förordningen på den offentliga förvaltningen?

Under utredningens kartläggningsarbete har det framkommit att det för vissa aktörer råder osäkerhet rörande i vilka situationer förord- ningen är tillämplig och vilka krav den ställer på den offentliga för- valtningen. Nedan presenteras de områden där vi identifierat sådana frågeställningar.

Förordningen gäller inte bara för gränsöverskridande användning av betrodda tjänster

En vanlig fråga rörande eIDAS-förordningen är om den endast om- fattar gränsöverskridande situationer. Förordningens bestämmelser medför att området betrodda tjänster till stora delar är harmoniserat inom EU. Detta innebär att alla medlemsstater tillämpar samma be- stämmelser. Det enda utrymme medlemsstaterna har för att behålla eller införa nationella bestämmelser avseende betrodda tjänster är enligt skäl 24 i förordningens ingress när dessa tjänster inte har harmoniserats fullständigt genom förordningen. Förordningens be- stämmelser gäller dock oavsett om situationen eller transaktionen är gränsöverskridande eller inte.

104

Förordningen uppställer inga krav avseende användning av betrodda tjänster

Förordningen fastställer ett allmänt regelverk för användningen av betrodda tjänster. Det innebär emellertid enligt skäl 21 i förordning- ens ingress inte en allmän skyldighet att använda betrodda tjänster. Förordningen uppställer alltså inte krav på att betrodda tjänster måste användas. Krav på sådan användning kan emellertid finnas i annan för- fattning och bestämmelserna i eIDAS-förordningen kan därigenom indirekt uppställa krav som ska följas. Ett exempel på detta är svenska författningar som anger att en avancerad elektronisk underskrift i enlighet med artikel 3 i förordningen ska användas för ett visst för- farande.

Krav om att erkänna vissa format av underskrifter och stämplar

Även om förordningen som ovan framgår inte innebär någon allmän skyldighet att använda betrodda tjänster finns det däremot bestäm- melser om krav på att erkänna elektroniska underskrifter och stämp- lar. Av artikel 25.1 respektive 35.1 framgår att elektroniska under- skrifter och stämplar inte får förvägras rättslig verkan enbart på grund av att de har elektronisk form eller för att de inte lever upp till kraven för att vara kvalificerade. Om formkrav saknas kan således en myndighet inte vägra att ta emot en elektroniskt undertecknad eller stämplad handling enbart utifrån den grunden att den har elektronisk form. Det kan emellertid finnas andra skäl att inte acceptera en hand- ling. Vad gäller typer av underskrifter, format och metoder anges i artikel 27.1 att om en medlemsstat kräver en avancerad elektronisk underskrift för användningen av en nättjänst som erbjuds av ett offent- ligt organ eller på ett offentligt organs vägnar, ska medlemsstaten erkänna avancerade elektroniska underskrifter, avancerade elektro- niska underskrifter som är baserade på ett kvalificerat certifikat för elektroniska underskrifter och kvalificerade elektroniska underskrifter i åtminstone de format eller med de metoder som anges i genom- förandeakter.36 En motsvarande bestämmelse för elektroniska stämp-

36Ett offentligt organ definieras i artikel 3.7 i förordningen som statlig, regional eller lokal myndighet, ett organ som lyder under offentlig rätt eller en sammanslutning som bildats av en eller flera sådana myndigheter eller ett eller flera sådana offentligrättsliga organ, eller en privat enhet som av minst en av dessa myndigheter, enheter eller sammanslutningar har bemyndigats att tillhandahålla offentliga tjänster när de agerar i enlighet med ett sådant bemyndigande.

105

lar finns i artikel 37.1. Bestämmelserna innebär att om det krävs en avancerad elektronisk underskrift eller stämpel i en nättjänst som exempelvis en myndighet erbjuder ska myndigheten också erkänna de underskrifter som räknas upp, i de format som har angetts i en genomförandeakt. En sådan genomförandeakt har antagits av kom- missionen37 och i det beslutet anges formaten och de tekniska speci- fikationerna som måste erkännas.38

Bakgrunden till bestämmelserna återfinns i skäl 50 i förordning- ens ingress där det framgår att eftersom behöriga myndigheter i med- lemsstaterna använder olika avancerade elektroniska underskrifter av olika format för att underteckna sina dokument elektroniskt är det nödvändigt att se till att åtminstone ett visst antal format av avance- rade elektroniska underskrifter (och stämplar) kan stödjas tekniskt av medlemsstaterna, när de erhåller dokument som undertecknats elektroniskt.

I artikel 27.2 föreskrivs vidare att om en medlemsstat kräver en avancerad elektronisk underskrift som är baserad på ett kvalificerat certifikat för användningen av en nättjänst som erbjuds av ett offent- ligt organ eller på ett offentligt organs vägnar, ska medlemsstaten erkänna avancerade elektroniska underskrifter som är baserade på ett kvalificerat certifikat och kvalificerade elektroniska underskrifter i åtminstone de format eller med de metoder som anges i genomföran- deakter. En motsvarande bestämmelse för stämplar finns i artikel 37.2.

Slutligen föreskrivs i artikel 27.3 för underskrifter respektive arti- kel 37.3 för stämplar att medlemsstaterna för gränsöverskridande användning av nättjänster som erbjuds av offentliga organ inte får kräva en underskrift eller stämpel med högre säkerhetsnivå än den som gäller för kvalificerade elektroniska underskrifter eller stämplar.

Medlemsstaterna avgör vilken nivå som ska krävas

eIDAS-förordningen uppställer inga krav om vilken nivå av under- skrift eller stämpel som krävs för en viss nättjänst (notera dock artikel 27.3 samt 37.3 som nämns ovan). Om kravet som uppställs är

37Kommissionens genomförandebeslut (EU) 2015/1506.

38För XML, CMS (Cryptographic Message Syntax) eller PDF gäller basprofilerna XAdES, CAdES respektive PAdES. Även s.k. underskrifts- eller stämpelbehållare, ASIC, ska kunna han- teras i enlighet med dessa basprofiler. Vad gäller basprofilerna hänvisas i beslutet till diverse ETSI-specifikationer.

106

avancerade elektroniska underskrifter eller stämplar ska aktören kunna erkänna sådana underskrifter och stämplar i de format och med de specifikationer som anges i genomförandebeslutet. Kräver nättjänsten i stället en kvalificerad elektronisk underskrift eller stämpel gäller samma princip. Däremot behöver tjänsten inte erkänna avancerade elektroniska underskrifter eller stämplar i en sådan situation, efter- som kravet är ställt på en högre nivå.

Oklart om förordningen begränsar offentliga aktörers möjlighet att hänvisa till vissa elektroniska kanaler

Artikel 27 och 37 tillsammans med kommissionens genomförande- beslut (EU) 2015/1506 innebär som tidigare nämnts att offentlig för- valtning måste erkänna elektroniska underskrifter och stämplar på vissa nivåer och i vissa format som följer vissa tekniska specifikatio- ner. Ytterligare en fråga som behöver belysas är vad förordningens bestämmelser innebär vid användning av en viss elektronisk kanal. Det är t.ex. vanligt att svenska myndigheter tillhandahåller e-tjänster där användaren identifierar sig och sedan undertecknar en handling i själva tjänsten. Det kan alltså vara så att ett visst förfarande, t.ex. en ansökan om ett tillstånd, kan genomföras elektroniskt genom att an- vända en e-tjänst men att alternativa sätt att genomföra förfarandet elektroniskt inte erbjuds av myndigheten. Detta är således ett hinder för den som exempelvis vill skicka in elektroniskt undertecknade hand- lingar där undertecknandet skett utanför myndighetens e-tjänst.

Artikel 27.1 i förordningen innebär som framgår ovan att en med- lemsstat som kräver en avancerad elektronisk underskrift för använd- ningen av en nättjänst ska erkänna sådana underskrifter som före- skrivs i kommissionens genomförandebeslut. Det kan konstateras att artikeln och förordningen i övrigt inte innehåller några bestämmel- ser om hur en nättjänst ska utformas. Det saknas också bestämmel- ser som tydliggör om offentliga aktörer själva ska kunna välja hur ett förfarande är uppbyggt, vilket skulle kunna påverka aktörens prak- tiska möjligheter att erkänna vissa elektroniska underskrifter eller stämplar. Av skäl 23 i förordningen framgår att i den mån förord- ningen medför en skyldighet att erkänna en betrodd tjänst, får en sådan betrodd tjänst ogillas endast om skyldighetens adressat av tek- niska skäl bortom adressatens direkta kontroll är oförmögen att läsa eller kontrollera den. Vidare framgår att denna skyldighet dock inte

107

i sig bör medföra att ett offentligt organ är tvunget att anskaffa den maskinvara och programvara som krävs för teknisk läsbarhet för alla befintliga betrodda tjänster. Utöver bestämmelserna ovan måste även förordningens bestämmelser om rättslig verkan i artikel 25.1 och 35.1 beaktas i detta sammanhang.

Sammanfattningsvis innehåller eIDAS-förordningen ett antal be- stämmelser och skälstexter som när de läses samlat skapar en otydlig bild av vad som egentligen åligger en myndighet när formkrav saknas i författning och en enskild eller juridisk person vill inkomma med en elektroniskt undertecknad eller stämplad handling på annat sätt än den av myndigheten anvisade e-tjänsten. Finns det emellertid form- krav som anger att en e-tjänst ska användas får detta enligt vår be- dömning anses innebära att undantaget i artikel 2.3 är tillämpligt och att en vägran att acceptera andra former av elektroniskt inlämnande inte står i strid med förordningens bestämmelser.39

I fall där sådana formkrav saknas kan det här noteras att reger- ingen i förarbetena till nyligen införda ändringar i rättegångsbalken anfört att regleringen i eIDAS-förordningen inte medför någon skyl- dighet för domstolarna att ta emot ansökningar som är underteck- nade med en elektronisk underskrift och att det inte heller i övrigt finns någon sådan skyldighet.40 När det gäller förutsättningarna för att ta emot olika tekniska format för avancerade elektroniska under- skrifter framfördes vidare att detta beror till stor del på vilken teknisk lösning som väljs för det systemstöd som utvecklas.41

Trots regeringens ställningstagande får rättsläget rörande om offentliga aktörer, utan att formkrav finns, har möjlighet att hänvisa till en viss elektronisk kanal samt förordningens eventuella påverkan på aktörens möjligheter att inte acceptera att ett förfarande genom- förs på annat sätt enligt utredningen bedömas som oklar. Detta är emellertid en fråga för den fortsatta rättstillämpningen och i slut- ändan EU-domstolen att avgöra.42

39Se t.ex. 1 och 4 § § Skatteverkets föreskrifter (SKVFS 2014:22) om begäran om utbetalning för hushållsarbete, senast ändrade genom (SKVFS 2020:19).

40Prop. 2019/20 :189 s. 35, jfr även prop. 2017/18:126 s. 40 f. och 43.

41Prop. 2019/20 :189 s. 35. Upplysningsvis kan nämnas att Sveriges Domstolar därefter in- fört en e-tjänst för dessa förfaranden: www.domstol.se/tjanster-och-blanketter/signera-och- skicka-handlingar-digitalt/ (hämtad 2021-01-18).

42Vi har endast hittat ett svenskt domstolsavgörande där dessa frågeställningar berörts, i det fallet frågan om rättslig verkan i artikel 25.1 och då endast i den skiljaktiga meningen (Kammarrätten i Stockholms dom den 11 november 2020 i mål nr 4566-20). Det finns även ett beslut från Justitieombudsmannen (dnr 742-2018) som är värt att notera i sammanhanget.

108

5.11Vägledningar som kompenserar bristen på genomförandeakter

Som framgår av avsnitt 5.4.1 har kommissionen getts befogenhet att anta genomförandeakter för att komplettera eIDAS-förordningens bestämmelser för att i enlighet med skäl 70 och 71 i ingressen att på ett flexibelt och snabbt sätt kunna komplettera vissa detaljerade aspekter av förordningen samt att säkerställa enhetliga villkor för genomförandet av förordningen. Kommissionen har i skrivande stund beslutat och publicerat åtta sådana akter, varav fyra av dem avser området betrodda tjänster.43 Resterande fyra avser elektronisk iden- tifiering. Förordningen ger emellertid kommissionen mandat att be- sluta om genomförandeakter i betydligt större omfattning än vad den än så länge har valt att göra. Att många genomförandeakter saknas utgör ett problem vid tillämpningen av förordningen.

I avsaknad av sådana genomförandeakter finns det dock vägled- ningar på både nationell och europeisk nivå som kan ge visst stöd. PTS ger ut en vägledning för betrodda tjänster i Sverige enligt eIDAS.44 Den innehåller en beskrivning av processen för att etablera sig som tillhandahållare av kvalificerade betrodda tjänster och riktar sig främst till tillhandahållare som vill bli kvalificerade. Även andra aktörer kan använda sig av vägledningen, exempelvis icke kvalifice- rade tillhandahållare eller myndigheter. I vägledningen framgår att PTS anser att det, i avvaktan på att kommissionen tar fram genomför- andeakter, är lämpligt att använda de standarder och specifikationer som European Committee for Standardization (CEN) och European

43Kommissionens genomförandeförordning (EU) 2015/806 av den 22 maj 2015 om faststäl- lande av specifikationer för utformningen av EU-förtroendemärket för kvalificerade betrodda tjänster, kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och format rörande förteckningar över be- trodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förord- ning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk iden- tifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och kom- missionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av stan- darder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektro- niska transaktioner på den inre marknaden.

44PTS, Vägledning för betrodda tjänster i Sverige enligt eIDAS (Utgåva 3), 10 juni 2020.

109

Telecommunications Standards Institute (ETSI) beslutat på området för betrodda tjänster eftersom kommissionen troligen kommer att hänvisa till dessa i framtida genomförandeakter. I vägledningen fram- går de standarder kommissionen har pekat ut i genomförandeakter men när sådana saknas framgår i stället vilken standard eller teknisk specifikation PTS anser kan vara lämplig.

ENISA har också publicerat vägledningar som avser etablering av kvalificerade betrodda tjänster45, tillsyn över dem46, samt avslutande av sådana tjänster47. ENISA har även släppt en rapport som innehåller rekommendationer för hur kvalificerade tillhandahållare av betrodda tjänster genom diverse standarder kan leva upp till kraven i eIDAS- förordningen.48 I rapporten hänvisas bl.a. till ETSI-specifikationer, EN-standarder49 samt standarder från International Organization for Standardization (ISO) och International Electrotechnical Commis- sion (IEC). I avsnitt 5.12.1 framgår mer om dessa standarder.

5.12Standarder, tekniska lösningar och specifikationer

5.12.1Standarder

Svenska institutet för standarder (SIS) beskriver standarder som en gemensam lösning på ett återkommande problem, vars syfte är att skapa enhetliga och transparenta rutiner.50 Ett övergripande mål med standardisering är att samla aktörer med specialistkunskap som ser fördelar med att skapa en gemensam specifikation eller vägledning för hur t.ex. en vara, tjänst eller process ska se ut och fungera, samt testas och kontrolleras.51 Standarder kan vara av olika natur och kan vara horisontella eller sektorsspecifika alternativt produkt- eller tjänstespecifika. De kan avse själva produkterna och tjänsterna eller organisationer som tillhandahåller dem. I det följande använder vi

45ENISA, Guidelines on Initiation of Qualified Trust Services – Technical guidelines on trust services,

19december 2017.

46ENISA, Guidelines on Supervision of Qualified Trust Services – Technical guidelines on trust services, 19 december 2017.

47ENISA, Guidelines on Termination of Qualified Trust Services, 19 december 2017.

48ENISA, Recommendations for QTSPs based on Standards – Technical guidelines on trust services, 19 december 2017.

49EN-standarder (europeisk norm) är tekniska standarder som har tagits fram av något av de tre europeiska standardiseringsorganen CEN, CENELEC och ETSI.

50www.sis.se/standarder/vad-ar-en-standard/ (hämtad 2021-01-25).

51Regeringens strategi för standardisering (UD2018/12345/HI), s. 6.

110

begreppet standarder i vid mening som också inkluderar tekniska specifikationer, trots att det rent formellt kan finnas skillnader mellan dem.52 Vi anser dock att standardiseringsarbete också innefattar arbete med tekniska specifikationer och liknande.

Standarder kan vara nationella, regionala eller globala. I Sverige finns tre standardiseringsorganisationer: SIS, Svensk Elstandard (SEK) och Svenska Informations- och Telekommunikationsstandar- diseringen (ITS). Dessa organisationer har respektive motsvarig- heter på både europeisk och global nivå. Europeiska standarder antas av CEN, European Committee for Electrotechnical Standardization (CENELEC) och ETSI.53 Motsvarande organisationer på global nivå är ISO, IEC och Internationella teleunionen (ITU). Sammanfatt- ningsvis verkar SIS, CEN och ISO respektive SEK, CENELEC och IEC respektive ITS, ETSI och ITU inom samma områden. Vissa standardiseringsorgan erbjuder publicerade standarder mot en kost- nad och andra erbjuder dem gratis.

Det finns ett flertal standarder som kan vara relevanta för de om- råden som omfattas av eIDAS-förordningen. Det finns inte utrymme att i detta delbetänkande redogöra för alla dessa men som konsta- teras i avsnitt 5.5 kan kommissionen anta genomförandeakter som fastställer referensnummer för standarder. Av skäl 72 i förordningen framgår att när kommissionen antar delegerade akter eller genom- förandeakter bör den ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av europeiska och internatio- nella standardiseringsorgan, särskilt CEN, ETSI, ISO och ITU, i syfte att säkerställa en hög nivå av säkerhet och interoperabilitet när det gäller elektronisk identifiering och betrodda tjänster. Kommis- sionen har i linje med detta valt att peka på standarder från olika standardiseringsorgan. Genomförandeakterna som avser betrodda tjänster innehåller hänvisningar till ETSI-specifikationer, EN-stan- darder och ISO/IEC-standarder, beroende på vilken process, funk- tion eller liknande som avses. De EN-standarder som finns avseende betrodda tjänster är utarbetade av CEN och ETSI.

52www.etsi.org/standards/types-of-standards (hämtad 2021-01-30).

53Skäl 4 i ingressen till Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den

25oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG.

111

eIDAS-förordningen är baserad på det som kallas nya metoden. Metoden innebär att det i en EU-rättsakt, t.ex. ett direktiv eller en förordning, fastställs grundläggande säkerhetskrav eller andra krav, men inte hur kraven ska uppfyllas.54 I stället brukar olika standardi- seringsorgan få mandat från kommissionen att ta fram harmonise- rade standarder för det aktuella området. I slutet av 2009 beslutade kommissionen att ge CEN, CENLEC och ETSI ett standardiserings- mandat inom området informations- och kommunikationsteknologi som avser elektroniska underskrifter. Mandatets omfattning är att skapa förutsättningar för att uppnå gränsöverskridande interopera- bilitet för elektroniska underskrifter, genom att definiera och till- handahålla ett standardiserat ramverk för europeiska elektroniska underskrifter.55 Mandatet är visserligen från 2009, dvs. innan eIDAS- förordningen fanns, men gäller fortfarande och det har i enlighet med mandatet publicerats ett antal standarder som är av relevans för be- trodda tjänster. Flertalet har publicerats av ETSI, som också anordnar s.k. ”plug tests” för att testa interoperabiliteten för de standarder som avser betrodda tjänster.

Enligt den nya metoden är standarderna frivilliga56 att följa men att följa dem är förenat med en presumtion om överenstämmelse med de krav som fastställs i det aktuella direktivet eller den aktuella för- ordningen.57 Detta under förutsättning att kommissionen har offent- liggjort en hänvisning till den harmoniserade standarden i Europeiska unionens officiella tidning, eller i vissa fall hänvisat till den med andra medel.58

Standarder tas fram gemensamt av de parter som är engagerade i ett visst standardiseringsorgan. De standardiseringsorgan som om- nämns i skäl 72 i eIDAS-förordningen fungerar på lite olika sätt. ETSI är princip öppet för vem som helst att gå med i för att delta i

54EU, Sverige och den inre marknaden – En översyn av horisontella bestämmelser inom varu- och tjänsteområdet (SOU 2009:71), s. 161 f.

55Kommissionens standardiseringsmandat M/460 av den 22 december 2009.

56I vissa rättsakter, t.ex. eIDAS-förordningen, kan det dock vara obligatoriskt att följa vissa standarder, såsom de standarder som avser säkra anordningar i kommissionens genomförande- beslut (EU) 2016/650 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

57EU, Sverige och den inre marknaden – En översyn av horisontella bestämmelser inom varu- och tjänsteområdet (SOU 2009:71), s. 161 f.

58Artikel 10.6 i Europaparlamentets och rådets förordning (EU) nr 1025/2012.

112

standardiseringsarbetet. Medlemmarna i CEN består av de nationella standardiseringsorganen i EU:s medlemsstater samt Storbritannien, Republiken Nordmakedonien, Serbien, Turkiet, Island, Norge och Schweiz. För Sveriges del är det SIS som är medlem i både CEN och ISO.59

ITU är en mellanstatlig internationell organisation för global sam- ordning av telenät och teletjänster.60 Företag, branschorganisationer och sammanslutningar samt myndigheter från många av världens länder deltar i organisationens arbete. Även om ITU anges i skäl 72 har ingen av de genomförandeakter som kommissionen har antagit hittills pekat på ITU-standarder.

Det finns olika sätt att påverka innehållet i en standard när en ny standard ska tas fram, exempelvis genom medlemskap i det aktuella standardiseringsorganet eller genom medlemskap i det nationella stan- dardiseringsorgan som i sin tur är medlem i ett europeiskt eller inter- nationellt standardiseringsorgan. Innan en standard får status som europeisk norm (EN) ska beslut om det fattas i respektive standar- diseringsorgan. I CEN är det SIS som röstar för Sveriges del om sådana beslut. I ETSI är det ITS.

Det finns många andra standardiseringsorgan utöver de som anges ovan. Standardiseringen på det digitala området utgår ofta från andra konstellationer och andra informella standardiseringsorganisationer, vilka kan vara starkt marknadsdrivna.61 Ett tydligt exempel på detta med koppling till betrodda tjänster är utvecklingen rörande certifi- kat för autentisering av webbplatser (se mer om detta i avsnitt 4.6.1).

5.12.2Tekniska lösningar och specifikationer

Utöver standarder finns det även vissa tekniska lösningar och speci- fikationer rörande betrodda tjänster som bör lyftas fram.

59www.sis.se/en/standardutveckling/internationell-standardisering/cen/ (hämtad 2021-01-21) och www.sis.se/en/standardutveckling/internationell-standardisering/iso/ (hämtad 2021-01-21).

60www.pts.se/sv/om-pts/omvarldslankar/internationella-organisationer/ (hämtad 2021-01-21).

61Regeringen, Regeringens strategi för standardisering (UD2018/12345/HI), s. 12.

113

DIGG:s fristående underskriftstjänst

DIGG rekommenderar offentliga aktörer att skaffa en fristående underskriftstjänst.62 Hur en sådan tjänst fungerar beskrivs i avsnitt 5.2.2. Vidare rekommenderar myndigheten att aktörerna vid upphandling av en sådan tjänst ställer krav på att den ska vara granskad och godkänd av DIGG. Granskningen utgår från DIGG:s normativa specifikation för fristående underskriftstjänst. Den normativa specifikationen som helhet omfattar dokumenten

•Normativ specifikation – Fristående underskriftstjänst.

•Policy – Fristående underskriftstjänst.

•Tjänstespecifikation – Fristående underskriftstjänst.

•Icke funktionella krav – Fristående underskriftstjänst.63

Enligt tjänstespecifikationen ska underskriftstjänsten stödja under- skrift enligt vissa utpekade format och tekniska specifikationer.64

Byggblock inom CEF Digital

Sedan den 1 januari 2014 gäller Europaparlamentets och rådets för- ordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa. Fonden inrättades på initia- tiv av Europeiska kommissionen och dess syfte är att främja projekt av gemensamt intresse inom sektorerna för transport-, telekommu- nikations- och energi.65 Fonden benämns vanligtvis som CEF, en förkortning som följer av dess engelska namn (Connecting Europe Facility). En del av fondens program är CEF Digital som arbetar för att möjliggöra en digital inre marknad. CEF Digital har ett antal cen- trala byggblock som tillsammans utgör basen för att uppnå en sådan marknad. Byggblocken kan bestå av ett ramverk, en standard, mjuk- vara, mjukvara som en tjänst eller en kombination av dessa.66 Bygg-

62www.digg.se/digital-identitet/e-underskrift/offentlig-aktor (hämtad 2021-01-13).

63DIGG, Normativ specifikation – Fristående Underskriftstjänst (version 1.40), 22 april 2020.

64XML Advanced Electronic Signatures( XAdES) BES i enlighet med ETSI EN 319 132 samt PDF Advanced Electronic Signatures (PAdES) enlighet med ETSI EN 319 142 (Normativ specifikation fristående underskrifts tjänst – Tjänstespecifikation, s. 15).

65Artikel 1 i Europaparlamentets och rådet förordning (EU) nr 1316/2013.

66https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/CEF+Digital+Home (hämtad 2021-01-13).

114

blocken finns inom en rad områden, exempelvis elektroniskt infor- mationsutbyte (eDelivery), elektroniska underskrifter (eSignature) och elektronisk identifiering (eID).

eDelivery är baserat på en distribuerad modell som innebär att deltagarna blir en nod i ett nätverk genom att använda standardiserade protokoll och säkerhetsrutiner. eDelivery möjliggör kommunikation direkt mellan deltagare utan behov att sätta upp bilaterala kanaler.67 Byggblocket togs fram med koppling till eIDAS-förordningens elek- troniska tjänster för rekommenderade leveranser för att visa hur för- fattningen är tänkt att fungera och för att publicera öppen program- vara som alla kan använda.68 Exempel på användningsområden så här långt är i viss mån e-CODEX69, som är ett system för utbyte av rätts- lig information inom EU, och i dess helhet PEPPOL70, som är ett internationellt nätverk för elektroniska inköp. Ett annat exempel på dess användning inom Sverige är projektet SDK som beskrivs i avsnitt 4.5.2.

Byggblocket eSignature möjliggör exempelvis skapande och vali- dering av elektroniska underskrifter. En komponent i byggblocket är Digital Signature Services (DSS). DSS är en öppen källkodsbaserad lösning som kan användas för att skapa och validera elektroniska underskrifter. DSS använder aktuella ETSI-specifikationer och blir på så sätt en referensimplementering av dessa standarder.

Förteckningar som tillhandahålls av privata aktörer

Det finns ett antal företag, som erbjuder diverse tekniska lösningar, som har egna förteckningar över tillhandahållare. Dessa förteckningar påminner i många avseenden om de förteckningar som EU:s medlems- stater ska tillhandahålla (se mer om sådana förteckningar i avsnitt 5.8). Exempelvis tillhandahåller de amerikanska företagen Adobe och Microsoft förteckningarna Adobe Approved Trust List71 respektive Trusted root program72. Förteckningar av detta slag används t.ex. av mjukvaror som läser PDF-filer eller av webbläsare. För att komma

67DIGG m.fl., Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn, DIGG, (DIGG dnr 2019-100), s. 54.

68https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/EU+Legislation

(hämtad 2021-01-13).

69e-Justice Communication via Online Data Exchange.

70Pan-European Public Procurement On-Line.

71https://helpx.adobe.com/se/acrobat/kb/approved-trust-list2.html (hämtad 2021-01-13).

72https://docs.microsoft.com/sv-se/security/trusted-root/participants-list (hämtad 2021-01-13).

115

med i dessa förteckningar måste tillhandahållarna vanligen leva upp till vissa krav, bl.a. tekniska. För en förlitande part som använder t.ex. en webbläsare eller en PDF-läsare som nyttjar dessa förteckningar är det svårt att veta om det finns fog att lita på dessa certifikat.

Mer om dessa förteckningar som tillhandahålls av privata aktörer och de potentiella informationssäkerhetsrisker som är förenade med användning av dem finns i avsnitt 9.2.8.

116

Den i skrivande stund pågående pandemin har även accelererat den offentliga förvaltningens digitaliseringstakt.4 I Internetstiftelsens undersökning Svenskarna och internet 2020 konstateras att utveck- lingen för användning av olika digitala tjänster samt förändringar i svenskarnas beteende på nätet i stora drag följer en tidigare trend, men att trenden har i många fall påskyndats under pandemin.5 Vi delar denna bild. Många av de offentliga aktörer vi varit i kontakt med har uppgett att de bl.a. behövt ställa om sina arbetssätt till följd av ett allt större behov av att kunna genomföra vissa arbetsuppgifter på distans. Ett återkommande exempel har varit möjligheten att kunna skriva under interna dokument eller beslut elektroniskt. Pandemin har emel- lertid inte bara lett till rent interna förändringar hos förvaltningens aktörer. Den har också lett till ett tryck utifrån om att utveckla verk- samheterna. Förfaranden eller verksamheter med mänskliga möten har i många fall bytts ut mot digitala alternativ. Vissa aktörer har dess- utom fått skapa helt nya e-tjänster till följd av pandemin. Använd- ningen av betrodda tjänster har varit en viktig komponent som bidragit till den omställning som förvaltningen behövt göra.

6.2Kartläggning av behov och utmaningar vid användning av betrodda tjänster

Utredningens uppdrag har delvis varit att genomföra en kartläggning av den offentliga förvaltningens behov av åtgärder för ökad och stan- dardiserad användning av betrodda tjänster. En närmare beskrivning av hur kartläggningen genomförts framgår av avsnitt 2.2. Det har inom ramen för kartläggningen inte varit möjligt att identifiera be- hov och utmaningar som varje enskild aktör inom förvaltningen har eller upplever. Kartläggningen har emellertid enligt vår bedömning visat på tillräckligt många gemensamma nämnare mellan olika aktörers behov och utmaningar att de får anses relevanta för den offentliga förvaltningen i stort.

Nedan presenteras resultatet av kartläggningen i form av en redo- görelse för utmaningar som aktörer inom förvaltningen upplever med

att elektroniska kopior och utdrag ur handlingar och information från registret har autenti- serats genom betrodda tjänster enligt eIDAS-förordningen.

4Se t.ex. PTS, Digital omställning till följd av covid-19 (PTS-ER-2021:1), för exempel på digital omställning inom utbildningssektorn samt vård- och omsorgssektorn till följd av pandemin.

5Internetstiftelsen, Svenskarna och internet 2020, s. 5.

118

koppling till användning av betrodda tjänster samt de behov vi har identifierat att aktörerna har. Redogörelsen är, efter den inledande sammanfattningen, uppdelad utifrån olika betrodda tjänster samt med ett avslutande avsnitt om standardiseringsarbete.

6.3Sammanfattad behovsbild

Vår kartläggning visar att den offentliga förvaltningen i dagsläget upp- lever störst behov av att på olika sätt kunna använda och hantera elektroniska underskrifter. När det gäller elektroniska tidsstämplingar, certifikat för autentisering av webbplatser och elektroniska tjänster för rekommenderadeleveranser har kartläggningen inte visat att för- valtningen upplever något behov av åtgärder avseende dessa specifika betrodda tjänster.

Många aktörer upplever osäkerhet kring vissa eller alla steg i han- teringen av elektroniska underskrifter. Det kan gälla allt från bedöm- ningen av om underskrifter krävs till bevarandet av elektroniska under- skrifter. Vi bedömer att det finns ett stort behov av ett mer samlat och utvecklat stöd för förvaltningen att tillgå för dessa frågor.

Vidare visar kartläggningen att det finns ett behov av stöd som gör det enklare att kunna validera elektroniska underskrifter, fram- för allt sådana som lämnas in till den offentliga förvaltningen. Det har framkommit att vissa upplever en osäkerhet kring om en betrodd tjänst som har skapat en underskrift, eller tillhandahållaren av tjäns- ten, lever upp till de krav som ställs i eIDAS-förordningen.

Många elektroniska underskrifter i den offentliga förvaltningen genereras inom ramen för aktörernas e-tjänster. Vissa tillhandahållare av betrodda tjänster har framfört att deras kunder i och med detta upp- lever hinder mot att kunna använda andra elektroniska underskrifter än de som skapas i e-tjänsterna. I tjänsterna är det vidare vanligt att autentisering genom elektronisk identifiering är ett krav. Att det inte är möjligt för alla att få tillgång till, eller kunna använda, elektronisk identifiering har av många aktörer framförts som ett problem.

Elektroniska stämplar används än så länge i begränsad omfattning i förvaltningen. Eftersom flera aktörer har framfört att de ser ett behov av att i framtiden kunna använda stämplar finns det dock ett behov av stöd i användningen av dessa tjänster. Behoven är enligt vår bedömning likartade som för elektroniska underskrifter men stödet

119

kan behöva anpassas, bl.a. mot bakgrund av att användningsfallen kan skilja sig åt.

Med beaktande av att standarder har en betydande påverkan på området betrodda tjänster finns även ett behov av att myndigheter deltar i standardiseringsarbetet i större utsträckning än i dagsläget.

6.4Den offentliga förvaltningen ser inget tydligt behov av att använda vissa betrodda tjänster

Kartläggningsarbetet har visat att aktörer inom den offentliga för- valtningen inte ser något tydligt behov av vissa betrodda tjänster. Det innebär inte att förvaltningen inte kan ha användning för dessa tjänster. Varken vi eller de vi haft kontakt med har emellertid iden- tifierat potentiella användningsområden där dessa tjänster i dagsläget hade kunnat skapa nytta. Vi ser inte heller att det finns behov av att föreslå åtgärder avseende dessa specifika betrodda tjänster. Nedan beskrivs kortfattat behovsbilden avseende dessa tjänster.

Elektroniska tidsstämplingar

Elektroniska tidsangivelser skapas ofta inom den offentliga förvalt- ningen, t.ex. när en handling inkommer elektroniskt. Vi har genom kartläggningsarbetet emellertid inte identifierat ett behov av att kunna använda betrodda tjänster för elektroniska tidsstämplingar inom förvaltningen. Det kan finnas ett behov av att kunna tidsstämpla med sådana tjänster men det verkar vara inom ramen för andra funktioner, exempelvis när elektroniska underskrifter eller stämplar används. Det är för övrigt för bl.a. underskrifter och stämplar som tidsstämp- lingstjänster enligt eIDAS-förordningen används, vilket innebär att en tredje part lägger till en tidsuppgift som är kryptografiskt skyd- dad med en egen underskrift eller stämpel.

Certifikat för autentisering av webbplatser

En stor majoritet av aktörerna inom offentlig förvaltning använder certifikat för autentisering av sina webbplatser. Vår bedömning är att aktörerna upplever nuvarande marknad som välfungerande och att

120

deras behov tillgodoses. Det bör påpekas att nuvarande marknad och de certifikat som används inte nödvändigtvis är utformade efter eIDAS-förordningens krav. För vissa typer av gränsöverskridande informationsutbyten krävs emellertid kvalificerade certifikat som lever upp till kraven i förordningen. Vi har dock bara identifierat ett fall när ett sådant certifikat har krävts (se mer om detta i avsnitt 4.7).

Med hänsyn till att kommissionen själva och även via ENISA arbetar för att främja användningen av certifikat för autentisering av webbplatser samt att krav på användning av sådana certifikat har börjat dyka upp i EU-rättsakter kan behovet på sikt bli större. Vidare kommer sannolikt användningen att öka som en följd av ett ökat utbyte av information mellan nationella myndigheter inom EU.

Elektroniska tjänster för rekommenderade leveranser

Definitionen av elektroniska tjänster för rekommenderade leveranser i eIDAS-förordningen är enligt vår bedömning så pass bred att den kan fånga upp tjänster som möjliggör elektronisk kommunikation inom den offentliga förvaltningen och mellan förvaltningen och externa aktörer. De uppgifter som överförs ska emellertid enligt definitionen i artikel 3.36 i förordningen vara mellan tredje män, vilket innebär att exempelvis en e-tjänst som en myndighet erbjuder för att skicka in uppgifter till den myndigheten inte omfattas. Utifrån vårt kartlägg- ningsarbete kan vi även konstatera att termen elektronisk tjänst för rekommenderad leverans inte är välkänd inom förvaltningen. De offentliga aktörerna har behov av att kunna skicka och ta emot upp- gifter elektroniskt, men de har inte framfört att de behöver tjänster som utformas på ett sätt som medför att de utgör elektroniska tjäns- ter för rekommenderade leveranser enligt eIDAS-förordningens definition.

6.5Behov avseende elektroniska underskrifter

Av vårt kartläggningsarbete framkommer att den kategori betrodda tjänster som den offentliga förvaltningen anser sig ha störst behov av är tjänster med koppling till elektroniska underskrifter. Behovet av att kunna använda elektroniska underskrifter väntas dessutom öka, både för inkommande handlingar och för interna processer.

121

Användningen av elektroniska underskrifter får emellertid redan i dag anses utbredd inom förvaltningen. Omfattningen varierar dock mellan olika sektorer och aktörer.

6.5.1Osäkerhet rörande om elektroniska underskrifter ska eller får användas

Vi kan konstatera att aktörer inom den offentliga förvaltningen upp- lever att användning av elektroniska underskrifter är förenat med ett flertal utmaningar. Till att börja med är det emellertid viktigt att lyfta fram att kartläggningen visar att det finns en uppfattning inom den offentliga förvaltningen att autentisering genom elektronisk identi- fikation i många fall kan räcka och att en elektronisk underskrift då inte behövs. Vår uppfattning är att det i första hand är verksamheterna som bäst kan bedöma sina behov och om de gör den bedömningen att autentisering räcker, finns det som vi ser det ingen anledning att komplettera det aktuella förfarandet med en underskrift.

Ett tydligt hinder mot att kunna använda elektroniska under- skrifter är av naturliga skäl bestämmelser i författningar som inte till- låter att sådana används (se mer om detta i avsnitt 8.9.1). Genom kartläggningsarbetet har vi endast identifierat ett fåtal sådana be- stämmelser (se mer om detta i avsnitt 8.9.5). Trots att kraven på under- skrift genom penna på papper i svenska författningar är få bedömer

viatt det råder en osäkerhet kring när elektroniska underskrifter får användas. Att göra den bedömningen upplever vissa som en utma- ning. Dessutom har det framförts en osäkerhet avseende hur man ska leva upp till olika författningskrav när elektroniska underskrifter uttryckligen får eller ska användas. Detta avser framför allt avance- rade elektroniska underskrifter, för vilka detaljregleringen är mindre omfattande än för kvalificerade.

Kartläggningen visar också att det kan råda oklarhet om en hand- ling behöver skrivas under över huvud taget. Denna osäkerhet be- skrevs även som tidigare nämnts i avsnitt 4.2.1 av Digitaliseringsrätts- utredningen, som även framhöll att närmast rutinmässiga krav på undertecknande vid pappersförfaranden i vissa fall synes ha upp- ställts av myndigheter utan att det funnits krav i lag eller förordning som anger att det behövs.6 Vi instämmer i det, men kan också kon-

6Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 79 och 461.

122

statera att många aktörer inom förvaltningen reflekterar över om underskrifter faktiskt behövs, eftersom en övergång från pappers- hantering till digital hantering inte nödvändigtvis måste innebära att ett krav på underskrift bibehålls.

Ytterligare en utmaning som vissa aktörer i förvaltningen har be- skrivit är att andra aktörer inom offentlig förvaltning som de kom- municerar med inte alltid accepterar elektroniska underskrifter, vilket försvårar en övergång till helt digital hantering.

6.5.2Oklara krav och komplexitet

När offentliga aktörer ska införa elektroniska underskrifter i sin verk- samhet sker det vanligtvis genom att tjänsterna upphandlas eller av- ropas. Att införa underskrifter i verksamheten upplevs som komplext vilket också gör det svårt att ställa rätt krav på tillhandahållarna. Flera aktörer menar vidare att det finns många lösningar för elek- troniska underskrifter att välja mellan och att det är en utmaning att välja en lämplig lösning. Det kompliceras ytterligare av att många känner sig osäkra på om de underskrifter som skapas lever upp till eIDAS-förordningens krav på främst avancerade elektroniska under- skrifter. Att göra den bedömningen upplevs av flera aktörer inom förvaltningen som svårt och ett flertal anser att någon form av be- dömning av tredje part hade underlättat detta.

Kartläggningen visar vidare att för det fåtal aktörer som har be- rättat att de har övervägt att införa kvalificerade elektroniska under- skrifter har det inte varit en framkomlig väg, främst mot bakgrund av bristande utbud vid upphandlingstillfället.

Svårt att bedöma underskrifter från externa aktörer

Utmaningarna kopplade till underskrifter som kommer från externa aktörer är delvis desamma som för skapandet av egna underskrifter. Vissa aktörer har uppfattat det som att det finns oklarheter när en underskriftstjänst ska införas inom ramen för en e-tjänst. Även här kan det röra sig om svårigheter att bedöma om den underskrift som skapas är en avancerad elektronisk underskrift, om den bedömningen inte redan är gjord.

123

Att bedöma om en underskrift är avancerad upplevs också av många som ett problem när externa aktörer inkommer med elektro- niskt undertecknade handlingar. Det kan exempelvis påstås att en elek- tronisk underskrift är avancerad, men flera aktörer inom förvaltningen har påtalat att det är svårt att kontrollera att så verkligen är fallet. En annan utmaning för verksamheterna kan vara att de helt enkelt inte har processer eller it-stöd på plats för att kunna hantera underskrifter som inkommer på det sättet.

Ett behov som har framkommit under kartläggningen är möjlig- heten att kunna koppla en viss person och personens elektroniska underskrift till en viss behörighet. Att kunna göra den kopplingen kan i vissa fall vara en förutsättning för en fullt ut digital hantering av ärenden.

Aktörer inom förvaltningen har också berättat att det ibland inkommer handlingar där det är tveksamt om de är försedda med elektroniska underskrifter som går att knyta till en fysisk person på det sätt som krävs. Handlingarna verkar i stället snarare vara stämp- lade av en juridisk person samt kompletterad med information om att fysiska personer har skrivit under. Detta förfaringssätt har väckt frågan om krav på att något ska skrivas under med avancerad elek- tronisk underskrift då kan anses uppfyllt.

Vissa tillhandahållare av betrodda tjänster har framfört att de upp- lever att deras kunder utestängs från att lämna in elektroniskt under- tecknade handlingar till vissa myndigheter. Detta då många elektro- niska underskrifter i förvaltningen genereras inom ramen för myn- digheters e-tjänster och att de som har sådana tjänster kan vara ovilliga att godta inlämnande av elektroniskt undertecknade handlingar på annat sätt.

6.5.3Bristande tillgång till elektronisk identifiering

Flera aktörer har beskrivit utmaningar och hinder kopplade till till- gången till elektronisk identifiering, som påverkar möjligheterna att använda elektroniska underskrifter. Det är vanligt att autentisering med e-legitimation är första steget i en process där något ska skrivas under elektroniskt. Något som också bekräftas av inkomna svar på

124

en enkät genomförd av Föreningen XBRL Sweden.7 Vår kartlägg- ning visar också att eftersom inte alla i Sverige har möjlighet att anskaffa en vanligt accepterad e-legitimation eller är helt utestängda från att skaffa e-legitimation, stängs vissa personer ute från att kunna använda e-tjänster där det först krävs autentisering via e-legitimation.8 Samma sak kan gälla anskaffande av vanligt accepterade underskrifts- certifikat. Det kan i sin tur leda till ett krångligare förfarande för den enskilde, men också till mer manuell hantering hos den offentliga aktören.

6.5.4Svårigheter med validering

Kartläggningsarbetet visar att förvaltningen upplever utmaningar att validera underskrifter som inkommer från externa parter. De kan del- vis kopplas till utmaningen att avgöra om det rör sig om en avancerad elektronisk underskrift eller inte, men det verkar även råda osäkerhet kring vad det är som ska valideras, dvs. vilka uppgifter som ska vali- deras. Det framstår även som osäkert för många vilka underskrifter samt tillhandahållare av betrodda tjänster som de kan lita på.

Tillgång till it-stöd är en utmaning och det har framförts att det inte är effektivt att varje enskild aktör inom den offentliga förvalt- ningen själv ska behöva göra dessa bedömningar samt införskaffa tjänster för validering. Många aktörer inom förvaltningen har uttalat att de ser ett stort behov av stöd avseende validering av elektroniska underskrifter. Det kan röra sig om tekniskt stöd eller stöd i form av exempelvis förteckningar över tillhandahållare och tjänster som det går att lita på.

Vi kan för övrigt i anslutning till detta konstatera att det verkar vara mycket ovanligt att underskrifter på papper som inkommer till offentliga aktörer kontrolleras. Med rätt förutsättningar är det lättare att kontrollera elektroniska underskrifter än underskrifter på papper.

7Av sammanställningen av inkomna svar framgår att underskriftstjänster ofta tillämpar under- skrift med stöd av legitimering. Sammanställningen finns att hämta på XBRL Swedens webbplats: www.xbrl.se/nyheter/resultat-av-enkat-till-leverantorer-av-losningar-for-digital- signering/ (hämtad 2021-01-26).

8Se t.ex. SKR, Rapport enkät e-legitimationer – 2019 kommuner och regioner, s. 19.

125

6.5.5Problem avseende vad som ska bevaras och hur det ska bevaras

Avsaknad av elektroniska arkiv försvårar givetvis bevarandet av och, i vissa fall, ett eventuellt införande av elektroniska underskrifter. För att kunna hantera elektroniska underskrifter krävs dessutom ofta en översyn av verksamhetens dokumenthantering i stort. Flera av de aktörer vi har talat med har lyft att de ser utmaningar med att bevara elektroniska underskrifter. En bild som också bekräftas av E-legiti- mationsenkäten från 2019.9 Utmaningarna med bevarandet kan dels kopplas till svårigheter med att avgöra vad som ska bevaras och hur länge, dels hur bevarandet av elektroniska underskrifters giltighet över tid ska ske (se mer om dessa frågeställningar i avsnitt 8.5).

6.5.6Avsaknad av stöd

Flera aktörer inom den offentliga förvaltningen har lyft att det kan vara komplext och resurskrävande att införa elektroniska under- skrifter i verksamheten. Både när det gäller underskrifter som endast har ett internt syfte och när det gäller underskrifter som tillfogas hand- lingar som är avsedda för, eller lämnas in av, externa aktörer. Det stora informationsbehovet avseende tjänster för elektroniska under- skrifter framgår också av E-legitimationsenkäten, där drygt 40 pro- cent av de svarande angav att de har behov av mer information inom detta område.10 Olika överväganden behöver göras och det stöd som finns att tillgå i dag ger inte alltid svar på de frågor som måste besvaras. Flera aktörer har framfört att det är svårt att veta var man ska börja för att ta sig an ett införande. Det finns ett tydligt behov av att få stöd genom hela kedjan av att införa underskriftshantering. Detta gäller i synnerhet mindre aktörer. Kompetensen kan också be- höva höjas inom organisationen för att ta sig an området på ett tillfredsställande sätt. Att få stöd i kompetenshöjande åtgärder skulle underlätta för vissa aktörer.

Ett särskilt område där vi identifierat ett behov rör eIDAS- förordningen som sådan. Vi har kunnat se att kännedomen och kun- skapen om förordningen varierar stort. Det finns därtill flera exempel på att det i myndighetsföreskrifter förekommer obsoleta hänvisningar

9DIGG, E-legitimering inom den offentliga förvaltningen – Enkätundersökning 2019, s. 25.

10A.a. s. 24.

126

till den upphävda lagen (2000:832) om kvalificerade elektroniska sig- naturer eller e-nämndens grundläggande vägledning för myndigheter- nas användning av e-legitimationer och elektroniska underskrifter (e-nämnden 04:02) från 2004. Även bland dem som känner till för- ordningen och dess bestämmelser råder osäkerhet rörande vilka krav som förordningen ställer på aktörer i den offentliga förvaltningen (se mer om detta i avsnitt 5.10).

6.6Behov avseende elektroniska stämplar

Elektroniska stämplar är juridiska personers motsvarighet till elek- troniska underskrifter. Stämplar kan därför med fördel användas av myndigheter, kommuner och regioner när det behövs en utställar- verifikation och det inte är nödvändigt att en enskild handläggare undertecknar en viss handling.

Eftersom användningen av stämplar, utifrån det vår kartläggning visat, är begränsad inom förvaltningen är erfarenheterna av att an- vända dem än så länge likaledes begränsade. Ett flertal aktörer inom förvaltningen har emellertid framfört att det finns många situationer då stämplar är att föredra framför användning av underskrifter. Ett behov av, eller snarare en önskan om, att i större utsträckning kunna använda elektroniska stämplar finns alltså.

6.7Behov av att påverka standardiseringsarbetet

Som framkommer i avsnitt 5.12.1 används i många fall olika tekniska standarder inom området betrodda tjänster. Kopplat till det ökade behovet av att använda betrodda tjänster visar kartläggningen att det finns ett behov av att från myndighetshåll kunna påverka arbetet med att ta fram eller revidera relevanta standarder i större utsträck- ning än vad som sker i dag.

127

innebär att medlemsstaterna ska vidta alla lämpliga åtgärder för att säkerställa att de skyldigheter som följer av fördragen eller av unionens institutioners akter fullgörs.3 Det EU har bestämt är medlemssta- terna således skyldiga att följa. Det är emellertid inte ovanligt att enskilda bestämmelser i direktiv eller förordning lämnar utrymme för tolkning. I samband med ett genomförande av ett direktiv i svensk rätt kan det således vara nödvändigt för lagstiftaren att ibland göra en tolkning av en viss bestämmelse. Ytterst är det dock EU-dom- stolen som tolkar EU-rätten. Vidare har kommissionen i uppgift att övervaka och säkerställa tillämpningen av EU-rätten. Kommissionen har även möjlighet att initiera överträdelseärenden mot enskilda med- lemsstater.

EU-förordningar är direkt tillämpliga i medlemsstaterna och ska, till skillnad från direktiv, inte implementeras i nationell lagstiftning. Påverkan på nationell rätt kan däremot bli aktuell om befintliga be- stämmelser kan anses strida mot en förordning, om en förordning föreskriver en skyldighet eller möjlighet att vidta lagstiftningsåtgär- der eller om det behövs andra åtgärder till stöd för förordningens syfte. Det kan alltså i vissa fall vara nödvändigt att komplettera en EU- förordning med nationella bestämmelser. Sådana bestämmelser får emellertid inte ändra eller gå emot vad som föreskrivs i den aktuella förordningen.

7.3Betrodda tjänster är reglerade på EU-nivå

eIDAS-förordningens bestämmelser om betrodda tjänster och till- handahållare av betrodda tjänster innebär att utrymmet för Sverige och andra medlemsstater att vidta olika typer av åtgärder på området är begränsat. Förordningen ger emellertid uttryckligen medlemssta- terna möjlighet att vidta vissa åtgärder och några av förordningens bestämmelser hänvisar till nationell rätt. Formkrav i nationell rätt faller exempelvis enligt artikel 2.3 utanför förordningens tillämpnings- område och av artikel 17.5 följer att medlemsstaterna får kräva att tillsynsorganet ska inrätta, underhålla och uppdatera en infrastruktur för betrodda tjänster, i enlighet med villkoren i nationell rätt. Vidare framgår av artikel 24.1 att när kvalificerade tillhandahållare av be- trodda tjänster utfärdar ett kvalificerat certifikat, ska de kontrollera

3Artikel 4.3 i fördraget om Europeiska unionen.

130

identiteten och i förekommande fall eventuella särskilda attribut för den fysiska eller juridiska person till vilken det kvalificerade certifi- katet utfärdas. Det ska enligt artikeln göras på lämpligt sätt och i enlighet med nationell rätt.

Hänvisningarna till nationell rätt påverkar inte det faktum att tjäns- terna och tillhandahållarna är reglerade genom förordningen. Där- emot finns det i vissa fall alltså uttryckligt utrymme för medlems- staterna att vidta nationella åtgärder.

7.4Tidigare bedömningar om kompletterande bestämmelser till eIDAS-förordningen

Av 2 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering framgår bl.a. att PTS får meddela föreskrifter om krav för ackreditering av organ för bedömning av överensstämmelse, hur bedömningar av överensstäm- melse ska göras samt rapportering av bedömningar av överensstäm- melse. Detta är sådant som kommissionen enligt artikel 20.4 i eIDAS- förordningen får anta genomförandeakter om. I förarbetena till lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering konstateras att det inte är obligatoriskt för kommissionen att anta de aktuella genomförandeakterna och att det var oklart huruvida sådana akter skulle finnas på plats när eIDAS- förordningen skulle börja tillämpas.4 Det konstaterades vidare att i den mån det då saknas EU-rättslig reglering måste det införas nationell reglering i stället samt att det kan finnas behov av nationell reglering även om kommissionen utnyttjar möjligheten att anta genomförande- akter, t.ex. i form av kompletterande bestämmelser till genomförande- akterna eller närmare föreskrifter i vissa avseenden som inte omfattas av genomförandeakter. Det tydliggjordes emellertid att det är viktigt att de föreskrifter som kan komma att behövas i så stor utsträckning som möjligt tar hänsyn till internationellt standardiseringsarbete för att inte harmoniseringssträvandet ska äventyras.5 PTS har i dagsläget inte använt möjligheten att utfärda föreskrifter på området.

aProp. 2015/16:72 s. 45.

5 A.a.

131

7.5Kan medlemsstaterna vidta nationella åtgärder avseende betrodda tjänster?

Utredningens bedömning: Utrymmet för medlemsstaterna att införa nationella bestämmelser avseende de betrodda tjänster som inte är fullständigt harmoniserade är mycket begränsat och even- tuella nationella bestämmelser får inte äventyra varken strävandet efter harmonisering inom området eller den fria rörligheten.

Skälen för utredningens bedömning

Syftet med eIDAS-förordningen är att säkerställa en väl fungerande inre marknad samt uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster. I artikel 1 anges att förordningen fastställer regler för betrodda tjänster, i synnerhet för elektroniska transaktioner. Enligt skäl 21 i ingressen bör genom för- ordningen ett allmänt regelverk för användningen av betrodda tjäns- ter upprättas. Av samma skäl framgår att någon allmän skyldighet att använda sådana tjänster eller att installera en accesspunkt för alla befintliga betrodda tjänster dock inte bör skapas genom förordningen. Enligt skäl 24 får medlemsstaterna behålla eller införa nationella be- stämmelser, i överensstämmelse med unionsrätten, avseende betrodda tjänster så länge dessa tjänster inte har harmoniserats fullständigt genom förordningen. Det är enligt vår bedömning inte uppenbart hur skäl 24 ska tolkas. En rimlig tolkning är dock att förordningen har- moniserar vissa tjänster fullständigt, medan andra inte är fullständigt harmoniserade. Det skulle i sin tur innebära att det finns utrymme för medlemsstaterna att införa nationella bestämmelser avseende de tjänster som inte är fullständigt harmoniserade.

Vilka tjänster som harmoniseras fullständigt genom förordningen är inte i alla delar tydligt. Ett flertal tjänster faller inom kategorin betrodda tjänster och nivån av detaljreglering i eIDAS-förordningen skiljer sig åt. Genomgående ställer förordningen fler och mer detal- jerade krav på tjänster som är kvalificerade, detsamma gäller tillhanda- hållare som är kvalificerade. Det kan tolkas som att de tjänster som är fullständigt harmoniserade är de kvalificerade tjänster som om-

132

fattas av förordningen.6 Det skulle i sin tur innebära att det finns ett omfattande utrymme för medlemsstaterna att, i enlighet med skäl 24, införa nationella bestämmelser avseende betrodda tjänster som är icke kvalificerade så länge bestämmelserna överensstämmer med unions- rätten. En sådan tolkning kan dock enligt vår mening inte anses för- enlig med förordningens syfte och struktur. I förordningen särskiljs mellan olika tjänster och tillhandahållare. Icke kvalificerade tjänster och tillhandahållare ska inte omfattas av krav i lika stor utsträckning som kvalificerade. Syftet med förordningen kan enligt vår mening inte vara att det oreglerade tomrum som uppstår mellan exempelvis kvalificerade och icke kvalificerade tillhandahållare ska kompenseras med nationell reglering i varje medlemsstat. Risken skulle då vara stor att det uppstår en marknad för icke kvalificerade betrodda tjänster i varje medlemsstat i stället för en gemensam inre marknad för dessa tjänster. Något som hade varit i strid med förordningens övergripande syfte.

En central unionsrättslig princip som även måste beaktas är prin- cipen om fri rörlighet, som artikel 4 i förordningen ger uttryck för. Innebörden av artikel 4.1 är att en tillhandahållare av betrodda tjäns- ter som är etablerad i en annan medlemsstat inte får begränsas att tillhandahålla tjänster i en annan medlemsstat, förutsatt att tillhanda- hållandet faller inom ramen för det som regleras av förordningen. Vidare framgår av artikel 4.2 att produkter och betrodda tjänster som överensstämmer med förordningen ska omfattas av fri rörlighet på den inre marknaden. I linje med resonemanget ovan är vår uppfatt- ning att syftet med förordningen är att även icke kvalificerade till- handahållare av betrodda tjänster ska kunna erbjuda tjänsterna på hela den inre marknaden.

Även med beaktande av det som anförts ovan går det inte att bortse från att skäl 24 medger ett utrymme för medlemsstaterna att införa nationella bestämmelser avseende de betrodda tjänster som inte har harmoniserats fullständigt. Utrymmet är enligt vår bedöm- ning dock mycket begränsat och vi anser, i likhet med vad som fram- fördes i förarbetena till lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, att eventuella nationella

6Det kan här noteras att enligt skäl 25 kan medlemsstaterna bestämma att andra typer av be- trodda tjänster än de som ingår i förordningens förteckning över betrodda tjänster är erkända som kvalificerade betrodda tjänster på nationell nivå. Det kan således i teorin finnas andra typer av kvalificerade betrodda tjänster på nationell nivå vars reglering inte är harmoniserad.

133

bestämmelser inte får äventyra strävandet efter harmonisering inom området. De får inte heller uppställa hinder för den fria rörligheten.

7.6Vilka åtgärder rörande icke kvalificerade tillhandahållare kan vidtas?

Utredningens bedömning: Det är förenligt med EU-rätten att införa nationella bestämmelser som tillåter att icke kvalificerade tillhandahållare och betrodda tjänster förs upp på den förteck- ning som avses i artikel 22 i eIDAS-förordningen. Det är vidare förenligt med EU-rätten att uppställa vissa kriterier och tekniska krav för icke kvalificerade tillhandahållare och betrodda tjänster som förs upp på förteckningen.

Skälen för utredningens bedömning

Som framgår av avsnitt 7.1 har behovet av att utreda utrymmet för nationell reglering av betrodda tjänster sin grund i ett behov av att skapa förutsättningar för ökad struktur för icke kvalificerade till- handahållare och betrodda tjänster. Enligt artikel 22.1 i eIDAS- förordningen ska varje medlemsstat upprätta, underhålla och offent- liggöra förteckningar med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som den medlemsstaten ansvarar för, tillsam- mans med uppgifter om de kvalificerade betrodda tjänster som dessa tillhandahåller. Kommissionen har med stöd av artikel 22.5 antagit ett genomförandebeslut som fastställer tekniska minimispecifikationer och format för dessa förteckningar.7 Av artikel 2 i beslutet framgår även att medlemsstaterna får föra in information om icke kvalifice- rade tillhandahållare av betrodda tjänster i förteckningen, tillsammans med information om de icke kvalificerade betrodda tjänster som de tillhandahåller. Det ska då i förteckningen tydligt anges vilka tillhanda- hållare av betrodda tjänster som är icke kvalificerade samt de icke kvalificerade betrodda tjänster de tillhandahåller. Bland de medlems-

7Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställ- ande av tekniska minimispecifikationer och format rörande förteckningar över betrodda tjänste- leverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

134

stater som har fört upp icke kvalificerade tillhandahållare på sina för- teckningar återfinns Danmark, Österrike och Ungern. I kommissio- nens webbverktyg för att söka i medlemsstaternas tillitsförteckningar (Trusted List Browser) anges dessa som ”recognised at national level”, dvs. erkänd på nationell nivå.

Genom att föra upp icke kvalificerade tillhandahållare och betrodda tjänster på förteckningen kan den aktuella medlemsstaten anses gå i god för att tillhandahållaren eller tjänsten är erkänd på nationell nivå. Det är i och med det enligt vår mening naturligt att medlemsstaten kan förena detta med vissa villkor. Vi bedömer därför att medlems- staterna har ett utrymme att uppställa vissa kriterier och tekniska krav, förutsatt att dessa inte kan anses äventyra strävandet efter harmonisering inom området eller hindra den fria rörligheten, för att icke kvalificerade tillhandahållare och betrodda tjänster ska kunna föras upp på förteckningen. Samma bedömning gäller även för att föra upp icke kvalificerade betrodda tjänster som tillhandahålls av kvali- ficerade tillhandahållare.

135

8.1.2Autentisering av webbplatser, elektroniska tidsstämplingar och elektroniska tjänster för rekommenderade leveranser

Vi har i vårt kartläggningsarbete inte identifierat några behov som föranleder förslag avseende tjänster för autentisering av webbplatser.

När det gäller elektroniska tidsstämplingar utgör dessa ofta en komponent inom andra betrodda tjänster. I samband med vår kart- läggning har det inte framkommit några behov som enbart gäller denna typ av tjänst.

Som framgår av avsnitt 4.5.2 förekommer många informations- utbyten inom den offentliga förvaltningen och det går inte att utesluta att en eller flera av dessa tekniska lösningar för informationsöverför- ing omfattas av definitionen av elektronisk tjänst för rekommenderad leverans i enlighet med eIDAS-förordningen. Det är tydligt att det finns ett stort behov av ökat informationsutbyte mellan aktörer i den offentliga förvaltningen samt mellan myndigheter och enskilda. Trots detta, och även med beaktande av att befintliga utbyten ofta bygger på någon form av certifikatslösning, behöver de dock inte nödvändigt- vis ske med stöd av elektroniska tjänster för rekommenderade leve- ranser. Vår kartläggning har inte heller visat att något sådant behov föreligger. Några förslag som specifikt rör denna tjänst kommer där- för inte heller att lämnas.

8.1.3Ökad användning kräver även ökad digital delaktighet

En ökad användning av betrodda tjänster innefattar enligt vår be- dömning både den offentliga förvaltningens användning av sådana tjänster och invånarnas nyttjande av dem i sina interaktioner med det offentliga. Det är utifrån detta perspektiv viktigt att beakta de som av olika skäl inte kan eller har svårigheter att använda betrodda tjänster.

Internetstiftelsen publicerar varje år en studie över svenskarnas internetvanor. I juni 2020 publicerades en delrapport om digitalt utan- förskap.1 Även om studien visar att fler och fler använder internet bedöms sällan- och ickeanvändarna av internet utgöra sammantaget 6 procent av befolkningen, ca 3 procent vardera. Gemensamt för gruppen sällan- och ickeanvändare är att många är pensionärer och lever i låginkomsthushåll. Störst andel sällan- och ickeanvändare (17 procent) återfinns bland personer med funktionsnedsättning.

1https://svenskarnaochinternet.se/rapporter/digitalt-utanforskap-2020/ (hämtad 2021-01-14).

138

Även bland dem som mer frekvent använder internet finns det enligt studien behov av olika former av hjälp och stöd. Nära 1 av 5 svenskar anger att de behöver hjälp med att installera ett mobilt BankID. Ser man endast till sällananvändarna behöver ca 6 av 10 hjälp med att installera mobilt BankID och 5 av 10 hjälp med att boka ett läkarbesök på internet.

För personer med funktionsnedsättning kan problem med att an- vända tjänster även vara kopplade till hur dessa tjänster är utformade. Under pandemin har detta bl.a. visat sig i form av att synskadade haft svårigheter att digitalt boka provtagning för Covid-19.2

Det finns i svensk rätt olika bestämmelser avseende tillgänglighet som även kan tillämpas på betrodda tjänster och de e-tjänster där betrodda tjänster används. Exempelvis utgör bristande tillgänglighet en diskrimineringsgrund enligt diskrimineringslagen (2008:567). Enligt 1 kap. 4 § första stycket 3 diskrimineringslagen är bristande tillgänglighet att en person med en funktionsnedsättning missgyn- nas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning. Detta gäller även för myndigheters e-tjänster.3

Webbplatser, mobila applikationer och e-tjänster som tillhandahålls av den offentliga förvaltningen omfattas även av lagen (2018:1937) om tillgänglighet till digital offentlig service. Av regelverket framgår att offentliga aktörer, vilket även innefattar många privata utförare inom offentlig sektor, ska uppfylla vissa krav på tillgänglighet som kan uppnås genom att följa en särskild europeisk standard.4 För webb- platser gäller kraven sedan slutet av september 2020 och för mobila applikationer börjar kraven gälla den 23 juni 2021.

Enligt 9 kap. 2 § lagen (2016:1145) om offentlig upphandling ska vidare, i de fall då det som anskaffas ska användas av fysiska personer, de tekniska specifikationerna bestämmas med beaktande av samtliga användares behov, däribland tillgängligheten för personer med funk- tionsnedsättning.

Det är viktigt att notera att ovan angivna exempel på svenska författningsbestämmelser som uppställer krav på tillgänglighet inte

2Sveriges radios rapportering om att det är svårt för många synskadade att boka coronatest: https://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=7530060 (hämtad 2021-01-14).

3Stockholms tingsrätts dom den 11 september 2018 i mål nr T 16972-16.

45 § Myndigheten för digital förvaltnings föreskrifter om tillgänglighet till digital offentlig service (MDFFS 2019:2).

139

är uttömmande. Även eIDAS-förordningen innehåller bestämmelser om tillgänglighet. Av artikel 15 följer att betrodda tjänster som till- handahålls och slutanvändarprodukter som används i samband med tillhandahållandet av dessa tjänster, när det är genomförbart, ska göras tillgängliga för personer med funktionsnedsättning.

I Sverige arbetar många myndigheter och andra aktörer med att öka tillgängligheten till digital offentlig service. Utöver Myndigheten för delaktighets uppgifter med koppling till dessa frågor har exem- pelvis PTS i uppgift att stärka utvecklingen av fler och bättre kom- munikationslösningar för personer med funktionsnedsättning.

Vi anser det vara av central betydelse för en ökad användning av betrodda tjänster att arbetet med att öka den digitala delaktigheten för olika samhällsgrupper fortsätter. Det är därtill viktigt att den offentliga förvaltningen vid utveckling eller upphandling av nya e- tjänster i enlighet med de rättsliga krav som finns alltid beaktar tillgänglighetsperspektivet.

En annan form av digitalt utanförskap är om en person är förhind- rad eller har svårigheter att få en e-legitimation. Detta då det hindrar åtkomst till många myndigheters e-tjänster eftersom de inte kan identifiera sig digitalt.5 Vi vill här betona att det finns vissa problem med koppling till identifikation och identitetsbegreppet som ligger utanför ramen för detta delbetänkande och som därför inte kommer beröras djupare. Det kan dock konstateras att det krävs ett person- nummer för att skaffa en svensk e-legitimation. Till detta kan det finnas ytterligare krav, exempelvis måste en person vara kund i en ansluten bank för att få ett BankID. Det är även stor skillnad mellan i vilken grad olika e-legitimationer kan användas i olika tjänster. Således kan en person inneha en svensk e-legitimation men ändå inte kunna använda de e-tjänster som den offentliga förvaltningen erbju- der. Det finns också många individer som saknar personnummer. De är därmed förhindrade att använda den offentliga förvaltningens e- tjänster eller att underteckna handlingar elektroniskt med stöd av en e-legitimation. Behovet av att ge dessa individer möjlighet att anskaffa en e-legitimation måste dock givetvis vägas mot de risker för miss- bruk som uppstår om e-legitimationer utfärdas utan en tillräckligt säker grundidentifiering (se mer om detta i avsnitt 10.3).

Det kan i sammanhanget noteras att eIDAS-förordningen upp- ställer krav om att utländska e-legitimationer som anmälts enligt ett

5SKR, Rapport enkät e-legitimationer – 2019 kommuner och regioner, mars 2020, s. 11.

140

särskilt förfarande ska kunna användas för att logga in i den offent- liga förvaltningens e-tjänster. Detta innebär emellertid inte att den som loggat in på detta sätt i praktiken alltid har möjlighet att använda tjänsterna.6

8.2När bör den offentliga förvaltningen använda avancerade eller kvalificerade elektroniska underskrifter?

8.2.1Inledning

I eIDAS-förordningen definieras utöver grunddefinitionen av elek- troniska underskrifter, i delbetänkandet benämnda som enkla under- skrifter, även avancerade respektive kvalificerade elektroniska under- skrifter (se mer om de olika nivåerna i avsnitt 5.5.2). Utredningen ska enligt direktiven tydliggöra när avancerade respektive kvalificerade elektroniska underskrifter bör användas i den offentliga förvaltningen. Vi anser att frågan är lika aktuell för elektroniska stämplar och de resonemang som i detta avsnitt förs om elektroniska underskrifter har därför likvärdig relevans för elektroniska stämplar. För att inte tynga texten hänvisas i avsnittet emellertid bara till elektroniska underskrifter.

I bedömningen av när avancerade eller kvalificerade elektroniska underskrifter behövs ligger även motsatsvis en bedömning av när de inte behövs. Vi kommer inte i detta avsnitt att fördjupa oss i denna fråga men om andra alternativ bedöms tillräckliga utifrån de bedöm- ningsgrunder vi anser relevanta kan enkla elektroniska underskrifter eller andra typer av tekniska lösningar vara fullgoda alternativ (se mer om detta i avsnitt 6.5.1).

8.2.2Vad är skillnaden mellan avancerade och kvalificerade elektroniska underskrifter?

För att kunna bedöma vilken nivå av elektronisk underskrift som bör användas är det av vikt att ha förståelse för skillnaderna mellan dem. I avsnitt 5.5.2 presenteras i större detalj vilka krav som gäller för avan-

6Skatteverket, Fördjupad utredning rörande koppling mellan utländska eID-handlingar och svenska identitetsbeteckningar (dnr 2 02 27351-19/113), 21 januari 2019, s. 31.

141

cerade respektive kvalificerade elektroniska underskrifter. Nedan kommer endast att redogöras för skillnaderna på en övergripande nivå.

En kvalificerad elektronisk underskrift är en avancerad elektro- nisk underskrift som skapas av betrodda tjänster som är kvalificerade och med hjälp av en anordning för skapande av kvalificerade elektro- niska underskrifter. Vidare ska en kvalificerad elektronisk underskrift vara baserad på ett kvalificerat certifikat.

En avancerad elektronisk underskrift skapas av betrodda tjänster som inte nödvändigtvis är kvalificerade. Vidare saknas krav på anord- ning. Det innebär att de tjänster som skapar kvalificerade elektroniska underskrifter omfattas av fler och mer detaljerade bestämmelser än de som skapar avancerade elektroniska underskrifter. Detsamma gäller de kvalificerade tillhandahållarna.

När det gäller icke kvalificerade tillhandahållare ska de vidta lämp- liga säkerhetsåtgärder med hänsyn till teknik och kostnad. Säker- hetskraven avseende kvalificerade tillhandahållare är mer detaljerade och ställer krav på policy, processer och rutiner. Dessutom finns för kvalificerade tillhandahållare krav på återkommande överensstäm- melsebedömning av ett ackrediterat organ. Det finns även skillnader i tillsyn. För kvalificerade betrodda tjänster får tillsynen vara plan- lagd eller händelsestyrd, för icke kvalificerade är tillsynen begränsad till att vara händelsestyrd, exempelvis om det kommer till tillsyns- myndighetens kännedom att en säkerhetsincident inträffat.

Skadeståndsbestämmelserna i eIDAS-förordningen skiljer sig också åt beroende på om en betrodd tjänst är kvalificerad eller inte. Något förenklat har den drabbade parten bevisbördan om tjänsten är icke kvalificerad, men om tjänsten är kvalificerad har tillhandahållaren bevisbördan och måste ha finansiell förmåga att bära den ekonomiska risk det innebär.

Ytterligare en tydlig skillnad mellan kvalificerade och avancerade elektroniska underskrifter är att eIDAS-förordningens syfte att åstad- komma gränsöverskridande användning av bl.a. betrodda tjänster är uppbyggt kring en användning av kvalificerade betrodda tjänster. De fler och mer detaljerade kraven för kvalificerade elektroniska under- skrifter och kvalificerade tillhandahållare medför bättre förutsätt- ningar för interoperabilitet i gränsöverskridande situationer.7 Både vad gäller rent teknisk interoperabilitet, och ur ett rättsligt perspektiv

7För liknande resonemang se ENISA, Security guidelines on the appropriate use of qualified electronic signatures, 29 juni 2017, s. 21.

142

då en kvalificerad elektronisk underskrift tillerkänns en särskild rätts- lig status inom EU.

Sammanfattningsvis ska användning av en kvalificerad tjänst uti- från regelverket bl.a. garantera en viss säkerhetsnivå. Den nivå som en icke kvalificerad tjänst måste uppfylla för att t.ex. en elektronisk underskrift ska anses vara avancerad är mycket lägre. Det kan genom detta ligga nära till hands att dra slutsatsen att kvalificerade elektro- niska underskrifter alltid är säkrare än avancerade elektroniska under- skrifter. Detta är enligt vår uppfattning en förenklad slutsats. Det kan visserligen vara så i enskilda fall vid en jämförelse mellan två olika alternativ, men det innebär inte att så alltid är fallet. En icke kvalificerad tillhandahållare kan välja att leva upp till samma krav som en kvalificerad, eller ännu högre krav, utan att för den delen ha status som kvalificerad tillhandahållare. En avancerad elektronisk under- skrift kan leva upp till kraven i artikel 26 och dessutom ha många andra säkerhetsfunktioner som gör den lika säker, eller säkrare, än de krav som ställs på en kvalificerad elektronisk underskrift. Det kan också bero på att säkerheten oftast avtalas mellan tillhandahållaren och den som anskaffar tjänsten. Detta innebär en möjlighet för den enskilda verksamheten att vid behov ställa ytterligare säkerhetskrav på tjänsten och tillhandahållaren av tjänsten. För den som ska an- skaffa en tjänst för skapande av elektroniska underskrifter kan det emellertid vara lättare att göra det om kraven är kända och gäller lika för alla, snarare än att behöva se till vilken säkerhetsnivå en enskild tillhandahållare uppfyller eller genom avtalsvillkor kan erbjuda. I syn- nerhet om man saknar den kompetens som krävs för att genom avtal ställa egna krav på den tjänst som anskaffas. Utredningens förslag i avsnitt 8.3 syftar emellertid till att skapa en tydligare kravbild för icke kvalificerade tillhandahållare och för tjänster avseende bl.a. avancerade elektroniska underskrifter.

8.2.3Användning av kvalificerade respektive avancerade elektroniska underskrifter i andra länder

Vid en bedömning av när det är lämpligt att använda en viss typ av elektroniska underskrifter är det intressant att jämföra med hur användningen ser ut i andra länder. Den övergripande bild vi har fått är att användningen av avancerade elektroniska underskrifter respek- tive kvalificerade skiljer sig åt mellan olika medlemsstater.

143

Till följd av Nordiska ministerrådets arbete med att främja utveck- lingen av gränsöverskridande digitala tjänster startades ett gemen- samt projekt mellan de nordiska och baltiska länderna (NOBID). Som ett led i detta arbete publicerades i november 2020 en rapport om användningen av betrodda tjänster i dessa länder.8 Av rapporten framgår att användningen av kvalificerade elektroniska underskrifter är mer utbredd i de baltiska länderna än de nordiska.9 En tydlig skilje- linje som kan antas ligga bakom detta är att de nordiska länderna, med undantag för Island, i motsats till de baltiska länderna inte i lag- stiftning direkt eller indirekt främjat användning av kvalificerade elek- troniska underskrifter.10

Vad avser antalet tillhandahållare av kvalificerade elektroniska underskrifter finns det inga i Danmark, en vardera i Finland, Island, Estland och Lettland samt två i Litauen. Det land som verkligen ut- märker sig är Norge där det finns åtta utfärdare av kvalificerade certi- fikat för elektroniska underskrifter. Detta är en följd av att alla banker som är en del av det norska BankID-samarbetet måste ha denna kvali- fikation.11 Den mest frekvent använda typen av elektroniska under- skrifter i Norge är dock avancerade elektroniska underskrifter med kvalificerade certifikat eftersom ingen av tillhandahållarna i dags- läget erbjuder anordningar för skapande av kvalificerade elektroniska underskrifter.12

I Italien används kvalificerade elektroniska underskrifter i stor utsträckning, både av den offentliga förvaltningen och av närings- livet. Något som har drivit på användningen i Italien är enligt vår kon- takt med företrädare för den italienska digitaliseringsmyndigheten att nationella bestämmelser om bevisbörda innebär att den som hävdar att en kvalificerad elektronisk underskrift inte är skapad av rätt person också måste kunna visa det.13 Kvalificerade elektroniska underskrifter används i synnerhet för dokument och avtal som anses vara av särskild vikt. Avancerade elektroniska underskrifter används också, men främst inom vissa sektorer, t.ex. inom bankväsendet och sjukvården. Kvalificerade elektroniska underskrifter har emellertid en mycket starkare ställning än avancerade elektroniska underskrifter

8Hinsberg, Hille m.fl., Study on Nordic-Baltic Trust Services, 2020.

9A.a. s. 7 f.

10A.a. s. 14 ff.

11A.a. s. 26 ff.

12A.a. s. 23.

13Uppgift lämnad vid digitalt möte med The Agenzia per l’Italia Digitale den 23 juli 2020.

144

i Italien. I Italien finns ett 20-tal kvalificerade tillhandahållare av betrodda tjänster.

I Spanien finns bestämmelser som innebär att det vid kontakt med den offentliga förvaltningen går att identifiera sig med system som är baserade på kvalificerade elektroniska certifikat eller andra erkända system.14 Likaså går det att skriva under elektroniskt med kvalificerade elektroniska underskrifter eller avancerade elektroniska underskrifter baserade på kvalificerade certifikat, eller med andra erkända system.15 I dagsläget finns 36 kvalificerade tillhandahållare av betrodda tjänster i Spanien, varav vissa är myndigheter.

8.2.4Användning av kvalificerade respektive avancerade elektroniska underskrifter i Sverige

I Sverige är användningen av avancerade elektroniska underskrifter i den offentliga förvaltningen mycket utbredd. Användningen av kvali- ficerade elektroniska underskrifter förekommer endast i begränsad omfattning. I sin återrapportering av uppdraget att vidta stödjande åtgärder vid nationellt införande av eIDAS-förordningen konstate- rade DIGG att marknaden för kvalificerade betrodda tjänster inte utvecklats på det sätt som eIDAS-förordningen förutsätter.16 Ut- budet av kvalificerade betrodda tjänster i Sverige är litet i jämförelse med andra betrodda tjänster. Fram till oktober 2020 fanns det endast en tillhandahållare av kvalificerade betrodda tjänster i Sverige. I dagsläget finns det två. Vi bedömer att i huvudsak tre faktorer har bidragit till att användningen av betrodda tjänster utvecklat sig på detta sätt. Dessa faktorer presenteras nedan och utgörs av utform- ning av författningsbestämmelser, behov och utbud.

14Artikel 9 Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

15Artikel 10 Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

16DIGG, Uppdrag om stödjande åtgärder vid nationellt införande av eIDAS-förordningen (dnr 2019-90), s. 20.

145

Författningsbestämmelser som kräver eller främjar användning av kvalificerade elektroniska underskrifter saknas

Det finns i svenska författningar endast bestämmelser som upp- ställer krav om, eller möjliggör, användning av enkla eller avancerade elektroniska underskrifter. Några författningsbestämmelser som kräver att kvalificerade elektroniska underskrifter ska användas finns inte.

I förarbeten förekommer flera exempel på bedömningar avseende vilken underskriftsnivå som krävs. Det har bl.a. framförts att kvali- tetskraven bör bestämmas med hänsyn till vilka behov underskriften ska fylla, det vill säga vad den ska användas till och vad som ska visas med den.17 Som tidigare nämnts finns det bestämmelser som kräver användning av avancerade elektroniska underskrifter. Detta har motiverats på olika sätt. En motivering som används är att det på avancerade elektroniska underskrifter ställs höga krav på säkerhet och kryptering.18 Sådana resonemang kompletteras ibland med kon- stateranden att det inte har framkommit behov av att gå längre än dessa krav genom att i stället föreskriva användning av kvalificerad elektronisk underskrift.19 Vi har även noterat motiveringar som grundar sig i att de typer av e-legitimationer som i dagsläget är all- mänt spridda och använda i Sverige anses ”uppfylla kraven på en avancerad elektronisk underskrift”.20

Det går att se som gemensam nämnare i länder med utbredd användning av kvalificerade elektroniska underskrifter att de genom lagstiftning krävt eller främjat denna utveckling. Det är tydligt att avsaknaden av sådana bestämmelser är en starkt bidragande orsak till att det finns en låg efterfrågan för denna typ av underskrifter.

Det bör noteras att ett författningskrav om användning av avan- cerade eller enkla elektroniska underskrifter givetvis även tillgodoses genom användning av kvalificerade elektroniska underskrifter. Sådana bestämmelser utesluter således inte användningen av kvalificerade elektroniska underskrifter. Det är emellertid förståeligt att myndig- heter inte självmant väljer en högre nivå än den som bestämmelserna kräver om de för egen del inte ser ett behov av det.

17Prop. 2017/18:126 s. 29.

18Se t.ex. prop. 2015/16:125 s. 209.

19Prop. 2019/20:189 s. 35.

20Se. t.ex. prop. 2015/16:125 s. 209 och prop. 2019/20:189 s. 64 och s. 68.

146

Den offentliga förvaltningen ser inget stort behov av att använda sig av kvalificerade elektroniska underskrifter

I förarbetena till genomförandet av signaturdirektivet framfördes att det är naturligt att olika slags elektroniska underskrifter med olika säkerhetsnivå utvecklas och accepteras beroende på i vilket syfte de används.21 Detta speglar väl vår uppfattning om hur den offentliga förvaltningen i stort har hanterat bedömningar rörande om elektro- niska underskrifter ska användas och vilken typ av elektronisk under- skrift som då ska användas. I avsaknad av uttryckliga krav har behoven fått styra.

Förekomst av uttryckliga krav i författningar är inte heller den enda anledningen till att förvaltningen använder sig av avancerade elektroniska underskrifter. Vi har under vår kartläggning stött på exempel där krav i författning inte specificerar typ av elektronisk underskrift, men där myndigheter själva valt att använda avancerade elektroniska underskrifter. Vi kan vidare konstatera att det finns exempel på att myndigheterna själva i sina föreskrifter väljer att före- skriva om användning av avancerade elektroniska underskrifter, i fall då nivån inte fastställs i lag eller förordning.22

Många av de situationer där elektroniska underskrifter används eller behövs är oreglerade. Det finns då utrymme för aktörer inom förvaltningen att själva välja om de vill använda elektroniska under- skrifter och om det i så fall ska vara enkla, avancerade eller kvalifi- cerade elektroniska underskrifter. Vår kartläggning visar att aktörerna även i dessa situationer många gånger bedömer att avancerade elek- troniska underskrifter lever upp till verksamheternas krav. Vår slut- sats är mot bakgrund av detta att den offentliga förvaltningen i stort bedömer att kraven som eIDAS-förordningen ställer på avancerade elektroniska underskrifter oftast tillgodoser deras behov.

Ett begränsat utbud

Det kan enligt vår mening inte uteslutas att det råder ett moment 22 på området med innebörden att utbudet av kvalificerade betrodda tjänster är begränsat eftersom efterfrågan är begränsad, men att efter-

21Prop. 1999/2000:117 s. 58.

22Se t.ex. 3 § Bolagsverkets föreskrifter (BOLFS 2018:1) om elektronisk ingivning av årsredo- visningshandlingar för aktiebolag.

147

frågan också är begränsad eftersom utbudet är begränsat. Oavsett om så är fallet eller inte visar vår kartläggning att vissa aktörer inom förvaltningen som har övervägt att använda kvalificerade elektro- niska underskrifter också har upplevt svårigheter med att införskaffa dem. Det kan även noteras att bristen på tillhandahållare har skapat problem för svenska företag när de vill lämna anbud i andra länder och det uppställs krav om att anbuden ska skrivas under med kvali- ficerad elektronisk underskrift.23

8.2.5Behoven ska avgöra när avancerade eller kvalificerade elektroniska underskrifter används

Utredningens bedömning: Avancerade respektive kvalificerade elektroniska underskrifter bör användas när det utifrån författ- ningskrav, verksamhetens behov eller informationssäkerhetshän- seende är påkallat.

Skälen för utredningens bedömning

Som framgår av avsnitt 8.2.4 används kvalificerade elektroniska under- skrifter för närvarande endast i begränsad omfattning i den offentliga förvaltningen. En naturlig följdfråga är om detta i sig utgör ett pro- blem som måste åtgärdas?

I dagsläget finns det ett relativt stort antal tillhandahållare av be- trodda tjänster i Sverige (se mer om detta i avsnitt 10.9.1), varav flera erbjuder avancerade elektroniska underskrifter. Det finns emellertid endast två tillhandahållare som är kvalificerade och införande av krav på ökad användning av kvalificerade betrodda tjänster hade uteslutit användning av många tillhandahållares tjänster. Detta hade även, i vart fall inledningsvis, skapat en situation där den offentliga förvalt- ningen hade fått förlita sig på ett begränsat antal tillhandahållare. Något som både ur konkurrens- och informationssäkerhetshänseende hade varit negativt. DIGG har exemplifierat vad som kan göras för att åtgärda en sådan situation.24 Vi ser emellertid inget självändamål i

23Hinsberg, Hille m.fl., Study on Nordic-Baltic Trust Services, 2020, s. 46.

24DIGG, Uppdrag om stödjande åtgärder vid nationellt införande av eIDAS-förordningen (dnr 2019-90), s. 20.

148

en ökad användning av kvalificerade elektroniska underskrifter i den offentliga förvaltningen i nuläget.25 Inte heller i att uppställa någon målbild rörande en ökad användning av sådana underskrifter över tid. Detta eftersom andra underskrifter i många fall, som framgår ovan, kan tillgodose de behov aktörer inom den offentliga förvalt- ningen har. Det kan därmed inte anses befogat att regelmässigt ställa högre krav på de elektroniska underskrifter som används i förvalt- ningen. Dessutom bedömer vi att det finns andra mer lämpliga sätt att minska den osäkerhet som råder avseende avancerade elektroniska underskrifter samt främja interoperabilitet (se våra förslag i avsnitt 8.3 och 8.4).

Enligt vår uppfattning är det inte lämpligt att på en generell nivå slå fast när avancerade respektive kvalificerade elektroniska under- skrifter bör användas. Detta kräver en kartläggning av vilka behov en specifik verksamhet har och vilka krav externa regelverk uppställer. Utifrån en sådan kartläggning går det sedan att bedöma om elektro- niska underskrifter bör användas samt eventuell nivå för sådana under- skrifter. Utan att ha full insyn i behoven går det enligt vår uppfatt- ning inte att göra en fullgod bedömning om det är mest lämpligt att använda avancerade eller kvalificerade elektroniska underskrifter. Det är således behoven i de enskilda processerna där underskrifterna ska användas som måste avgöra. Detta gäller både när aktörer inom offentlig förvaltning fattar besluten på egen hand och vid utformning av författningsbestämmelser som reglerar användning av elektroniska underskrifter (se mer om utformning av författningsbestämmelser i avsnitt 8.9.5).

Även om vi inte anser det lämpligt att fastställa när respektive nivå ska användas kan vi utifrån vår kartläggning dra vissa slutsatser om faktorer som bör påverka bedömningen och som framstår som gemensamma för många aktörer inom den offentliga förvaltningen. Dessa faktorer presenteras nedan.

25Det kan här noteras att ID-kortsutredningen (Ett säkert statligt ID-kort – med e-legitimation, SOU 2019:14, s. 336 ff.) föreslog att det skulle uppställas ett krav om att den statliga e-legi- timation de föreslog skulle kunna användas för att skapa en avancerad elektronisk underskrift. De motiverade detta med att med den nuvarande behovsbilden när det gäller elektroniska underskrifter i svenska e-tjänster är det svårt att motivera den ökade komplexitet och kostnad som följer av kraven på särskilda tekniska och säkerhetsmässiga egenskaper i e-legitimationen för att kunna framställa kvalificerade elektroniska underskrifter.

149

Författningskrav måste identifieras först

En myndighet som överväger att digitalisera en process som inne- fattar underskrifter måste först undersöka om det aktuella förfaran- det omfattas av författningskrav avseende användning av elektroniska underskrifter. Ett område där den offentliga förvaltningen enligt vår kartläggning ofta överväger att använda elektroniska underskrifter är i samband med beslutsfattande. Krav på att myndigheters beslut ska vara undertecknade är dock inte vanligen förekommande.26

Det finns som tidigare nämnts ett flertal svenska författningar som anvisar användning av avancerade elektroniska underskrifter. Bestämmelserna kan skilja sig något åt i hur de är utformade. De kan ibland vara formulerade som att avancerade elektroniska underskrif- ter ska användas och ibland att de får användas. Om avancerade elek- troniska underskrifter pekas ut i författning kan den offentliga aktören enligt vår bedömning utgå från den nivån i det fortsatta arbetet, eftersom lagstiftaren i en sådan situation redan får anses ha gjort en bedömning avseende vilken nivå av underskrift som är lämplig.

Författningskrav som pekar mot en nivå av elektronisk underskrift behöver inte enbart finnas i svenska författningar. Den aktuella aktö- ren måste naturligtvis även undersöka om det finns bestämmelser på EU-nivå som påverkar valet. Om underskrifterna ska användas inom ramen för ett gränsöverskridande informationsutbyte bör det även undersökas om det inom ramen för det utbytet ställs krav på nivå av underskrift, t.ex. genom en överenskommelse eller användarvillkor.

Kontroll och tillgång till kompletterande uppgifter kan påverka bedömningen

Om den offentliga aktören bedömer att det finns ett utrymme att själv bestämma vilken nivå av underskrift som ska användas är en faktor som bör påverka valet vilken kontroll aktören har över för- farandet som underskriften ska användas i. En bedömning bör även göras av vilka juridiska funktioner underskriften ska fylla och om den potentiellt kan behöva presenteras som bevisning (se mer om underskrifters juridiska funktion i avsnitt 4.2.2).

Elektroniska underskrifter kan användas för olika förfaranden och på olika sätt. Om det rör sig om ett förfarande där externa parter

26eSam, Juridisk vägledning för införande av e-legitimering och e-underskrifter 1.1, juni 2018, s. 28.

150

ska skriva under elektroniskt kan kontrollen, potentiellt, vara mindre än om det rör sig om ett rent internt förfarande där t.ex. aktörens medarbetare skriver under. Hur förfarandet är uppbyggt kan påverka vilken kontroll den offentliga aktören har, vilket i sin tur kan påverka bedömningen om vilken nivå av underskrift som är lämplig. Här bör även tillgången till kompletterande uppgifter vägas in. Skillnaden kan illustreras med en jämförelse mellan en e-tjänst och ett förfarande där en enskild skickar in elektroniskt undertecknade handlingar, exempelvis i PDF-format. Vid användningen av e-tjänsten kan det finnas krav på att användaren först måste autentisera sig, dessutom kan det användaren gör i tjänsten loggas vilket genererar komplette- rande uppgifter. Sammantaget kan detta ge goda möjligheter till kontroll som kan hjälpa till att säkerställa att det är rätt person som skriver under. Något som kan tala för att avancerade elektroniska underskrifter, eller t.o.m. enkla elektroniska underskrifter, som i kombination med sådana kontrollmöjligheter kan vara fullt tillräck- liga utifrån behovsbilden. Om den offentliga aktören i stället väljer att låta externa aktörer inkomma med elektroniskt undertecknade dokument via exempelvis e-post kan nivån av kontroll vara lägre. Tillgången till kompletterande uppgifter kan i sådana fall också vara mer begränsad. Det kan tala för att det kan vara lämpligt att kräva kvalificerade elektroniska underskrifter, särskilt om personer eller företag från andra EU-länder förväntas inkomma med underteck- nade handlingar.

Användningen måste vägas in

En annan faktor som vi har identifierat som gemensam för många aktörer inom den offentliga förvaltningen är hur de elektroniska underskrifterna, och framför allt det de har använts för att skriva under, ska användas och av vem. Till att börja med bör användningen av undertecknade handlingar delas upp mellan de handlingar som in- kommer till aktörer inom förvaltningen och de handlingar som skapas av aktörer inom förvaltningen. För handlingar som inkommer till en aktör inom ramen för ett förfarande behöver aktören avgöra hur handlingarna kan komma att användas. Om det bara är den aktuella aktören som kommer att använda handlingarna kan det i enlighet

151

med vad som framgår ovan tala för avancerade elektroniska under- skrifter, om kontrollen i övrigt är tillfredsställande.

För handlingar som skrivs under elektroniskt av offentliga aktö- rers medarbetare blir användningen viktig. Handlingar som skrivs under skulle exempelvis kunna vara beslut eller intyg. Det kan vara så att beslutet eller intyget kan behöva användas gentemot tredje part, parter som i sin tur behöver kunna validera underskriften. Om så är fallet kan det tala för att kvalificerade elektroniska underskrifter är lämpliga att använda, framför allt om användningen kan komma att ske i andra EU-länder. Det bör då i bedömningen vägas in vilka möjligheter tredje part har till fullgod validering. Vår kartläggning visar att de aktörer som ser behov av att använda kvalificerade elek- troniska underskrifter framför allt gör det mot bakgrund av gräns- överskridande användning, exempelvis betyg från lärosäten. Vi ser också att det framför allt är vid gränsöverskridande användning som det är tydligt att kvalificerade elektroniska underskrifter kan vara mer lämpliga att använda än avancerade.

8.3En utökad tillitsförteckning

8.3.1Inledning

Vår kartläggning visar att många aktörer inom den offentliga förvalt- ningen upplever det som svårt att bedöma om vissa betrodda tjänster lever upp till kraven i eIDAS-förordningen. Detta påverkar bl.a. möj- ligheterna att anskaffa tjänster för skapande av avancerade elektro- niska underskrifter och förutsättningarna för att validera dessa under- skrifter.

Utredningen om effektiv styrning av nationella digitala tjänster konstaterade även att kraven i eIDAS-förordningen på certifikat som inte är kvalificerade är otydliga, vilket innebär en svårighet för en mottagare av en avancerad elektronisk underskrift att avgöra vilken kvalitet och säkerhet som en sådan underskrift har, t.ex. hur väl identifierad undertecknaren är.27 Vi instämmer i den beskrivningen och menar att utökade möjligheter till att göra dessa kontroller hade underlättat och effektiviserat den offentliga förvaltningens använd-

27reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 385.

152

ning av betrodda tjänster. Det hade även varit ett sätt att höja säker- heten och stärka tilliten vid användning av betrodda tjänster.

En tänkbar lösning vore en övergång till en mer utbredd använd- ning av kvalificerade elektroniska underskrifter eller stämplar efter- som dessa omfattas av en mer detaljerad reglering. Som en del av detta mer detaljerade regelverk ingår den förteckning som sköts av PTS och som innehåller kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som dessa aktörer till- handahåller. Liknande förteckningar tillhandahålls av alla medlems- stater. Genom förteckningarna går det att hitta tillhandahållare av betrodda tjänster samt betrodda tjänster, för den som vill köpa eller förlita sig på dem. Det främsta användningsområdet för förteck- ningarna är att de möjliggör kontroll och validering av de kvalifice- rade betrodda tjänsterna. Den som t.ex. tar emot en handling som undertecknats med en kvalificerad elektronisk underskrift och som behöver validera den kan använda förteckningen som stöd. En viktig fråga som besvaras är om tillhandahållaren går att lita på eller inte, vilket det går att utgå ifrån eftersom tillhandahållaren är kvalificerad och lever upp till kraven i eIDAS-förordningen.

Som konstateras i avsnitt 8.2 är användningen av kvalificerade betrodda tjänster i dagsläget begränsad i den offentliga förvaltningen och myndigheter bedömer att deras behov oftast kan tillgodoses genom användning av avancerade elektroniska underskrifter eller stämplar. Mot denna bakgrund bedömer vi att en mer utbredd över- gång till användning av kvalificerade elektroniska underskrifter eller stämplar inte hade varit en proportionerlig åtgärd för att åstadkomma den önskade effekten.

En europeisk infrastruktur finns redan på plats för medlemsstaterna att använda

Givet att den offentliga förvaltningen fortsatt ser ett behov av att kunna använda och hantera avancerade elektroniska underskrifter och till viss del avancerade elektroniska stämplar kvarstår frågan vad som kan göras för att underlätta anskaffandet och användningen av dessa tjänster?

Utredningen om effektiv styrning av nationella digitala tjänster framförde att en nationell säkerhetsnivå som fastställs i regelverk skulle underlätta möjligheten att avgöra vilka underskrifter som godtas i

153

offentliga e-tjänster nationellt samt vilka som kan godtas internatio- nellt.28 Vidare framförde utredningen att kraven på elektroniska under- skrifter bör samordnas med kraven på elektronisk identifiering och på ett motsvarande sätt med tillitsramverk genom lagstiftning med övergripande krav, samt förordning med mandat att utfärda före- skrifter.29

En annan tänkbar lösning är att införa en form av kvalitetsmärk- ning för betrodda tjänster, i likhet med den kvalitetsmärkning som redan existerar för e-legitimationer.30 Utfärdare av e-legitimation kan låta sig kvalitetsgranskas av DIGG. Granskningen är frivillig och görs utifrån DIGG:s tillitsamverk. Syftet med förfarandet och märket är att offentliga och privata aktörer med e-tjänster som kräver e-legiti- mation ska kunna lita på e-legitimationer som har kvalitetsmärket.31 Användarna ska också kunna känna sig trygga i att det är en säker identitetshandling. Ett kvalitetsmärke för betrodda tjänster skulle tjäna samma syften.

Ytterligare ett alternativ är att införa en nationell förteckning över tillhandahållare av betrodda tjänster och betrodda tjänster som den offentliga förvaltningen kan lita på. En förteckning som det ska gå att göra maskinella kontroller gentemot. En sådan förteckning skulle möjligen kunna kombineras med ett kvalitetsmärke enligt ovan.

Gemensamt för lösningarna ovan är att de hade varit nationella juri- diska konstruktioner utan tydlig förankring i det EU-rättsliga regel- verket. Som framgår av kapitel 7 är betrodda tjänster reglerade på EU-nivå och det nationella utrymmet att vidta åtgärder är begränsat. De åtgärder som vidtas måste överensstämma med eIDAS-förord- ningen och det övergripande syftet om en harmoniserad marknad för betrodda tjänster. Principen om fri rörlighet måste även beaktas. Vår bedömning är att de alternativ som redovisas ovan antingen riskerar att stå i strid med eIDAS-förordningen eller potentiellt utgöra hin- der för den fria rörligheten. Dessa lösningar skulle inte heller främja acceptans i övriga Europa av i Sverige skapade elektroniska underskrif- ter och stämplar eftersom det hade varit rent nationella företeelser.

Vi ser emellertid att det finns en lösning som både tillgodoser be- hoven och som är förenlig med EU-rätten. Varje medlemsstat i EU

28reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 387.

29A.a.

30www.digg.se/digital-identitet/e-legitimering#kvalitetsmarket_svensk_e-legitimation (hämtad 2021-01-14).

31A.a.

154

ska tillhandahålla ovan nämnda förteckningar och det finns sedan tidigare tekniska krav för förteckningarna. I dagsläget är det endast kvalificerade tjänster och tillhandahållare som kan föras upp på den svenska förteckningen. Någon sådan begränsning finns emellertid inte i eIDAS-förordningen och det finns flera exempel på medlems- stater som tillåter icke kvalificerade tillhandahållare på deras förteck- ningar (se mer om detta i avsnitt 7.6).

En europeisk infrastruktur finns alltså redan på plats som möj- liggör de kontroller som förvaltningen efterfrågar och som fyller de syften ett nationellt kvalitetsmärke och en nationell förteckning skulle göra. Vi anser därför att en utökning av den förteckning som redan existerar i Sverige är det bästa sättet att tillgodose behoven och även det lämpligaste alternativet sett till de EU-rättsliga aspekterna.

Vidare är enbart det faktum att förteckningen redan existerar ett starkt skäl till utökad användning av den. Förteckningarna är dess- utom interoperabla inom EU vilket möjliggör för aktörer i andra med- lemsstater att ta del av informationen. En rent nationell förteckning skulle sakna sådan interoperabilitet. Genom att använda den euro- peiska infrastrukturen i större utsträckning än i dag finns dessutom bättre förutsättningar för att främja den fria rörligheten.

8.3.2Förteckningen ska benämnas tillitsförteckning

Utredningens förslag: Den förteckning som avses i artikel 22 i eIDAS-förordningen ska i Sverige benämnas som tillitsförteck- ning.

Skälen för utredningens förslag

Den förteckning som framgår av artikel 22 i eIDAS-förordningen benämns i den svenska språkversionen av förordningen som förteck- ning över betrodda tjänsteleverantörer. I den engelska språkversio- nen av förordningen benämns dessa förteckningar som ”trusted lists”. Det är vanligt att den engelska termen används också i Sverige. I 5 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering föreskrivs att PTS

155

ska sköta denna förteckning i Sverige. PTS har valt att presentera denna förteckning som förteckning över anmälda aktörer.32

Även om förteckningen genom förordningen har ett formellt namn används det inte i någon större utsträckning. Som framgår ovan är det vanligare att den engelska termen används. Vi anser därför att förteckningen bör få en beteckning på svenska som på ett mer kon- centrerat och tydligt sätt beskriver dess syfte. Att anamma den eng- elska termen ”trusted list” anser vi inte vara lämpligt. Att benämna förteckningen ”förteckningen enligt artikel 22 i eIDAS-förordningen” skulle för någon som inte är bekant med förordningen eller den aktuella artikeln inte ge tillräcklig information om vad förteckningen syftar till och det är därtill ett onödigt långt namn. Ett annat alter- nativ skulle kunna vara att låta förteckningen heta ”förteckning över tillhandahållare av betrodda tjänster samt betrodda tjänster”, eller enbart ”förteckning över tillhandahållare av betrodda tjänster”. Dessa alternativ skulle tydligare förmedla vad förteckningen innehåller, men ligger språkligt nära förordningens beteckning. Ytterligare ett alter- nativ skulle vara att benämna förteckningen som betrodd förteckning. Vi anser emellertid inte att det är en lämplig lösning rent språkligt.

Syftet med att använda betrodda tjänster är att skapa tillit mellan aktörer. Tillhandahållarna av betrodda tjänster har en central roll i att skapa denna tillit. Eftersom syftet är tillit anser vi att en lämplig benämning för förteckningen på svenska är tillitsförteckning. Det signalerar vad förteckningen syftar till och ligger även språkligt nära den engelska beteckningen ”trusted list”. Det är inte heller en term som i dagsläget förekommer i någon svensk författning.

32www.pts.se/sv/bransch/internet/betrodda-tjanster-eidas/forteckning-over-anmalda- aktorer/ (hämtad 2021-01-14).

156

8.3.3Icke kvalificerade tillhandahållare ska kunna föras upp på tillitsförteckningen

Utredningens förslag: Tillhandahållare som är icke kvalificerade ska under vissa förutsättningar kunna föras upp på tillitsförteck- ningen.

Skälen för utredningens förslag

Av kommissionens genomförandebeslut (EU) 2015/1505 som fast- ställer tekniska minimispecifikationer och format för tillitsförteck- ningarna framgår att medlemsstaterna på frivillig basis och på natio- nell nivå får infoga information om icke kvalificerade tillhandahållare av betrodda tjänster, tillsammans med information om de icke kvali- ficerade betrodda tjänster som dessa tillhandahåller (skäl 4 och arti- kel 2). Vidare ska det tydligt anges vilka tillhandahållare av betrodda tjänster som inte är kvalificerade, och de icke kvalificerade betrodda tjänster de tillhandahåller. I kommissionens webbverktyg Trust Service Browser anges det att sådana betrodda tjänster är erkända på natio- nell nivå (”recognised at national level”).33

Vi föreslår en utökning av den svenska tillitsförteckningen genom att även tillåta att icke kvalificerade tillhandahållare av betrodda tjäns- ter förs upp på listan. I dag innehåller förteckningen, i enlighet med de krav som ställs i eIDAS-förordningen, kvalificerade tillhandahållare av betrodda tjänster och betrodda tjänster som de tillhandahåller. Genom att låta även icke kvalificerade tillhandahållare samt icke kvali- ficerade betrodda tjänster föras upp på den svenska tillitsförteck- ningen bör det bli lättare för den offentliga förvaltningen att kunna genomföra de kontroller och bedömningar som behövs. Vilket bör underlätta användningen av betrodda tjänster i den offentliga för- valtningen. Vi ser även att det kan underlätta för nya tillhandahållare att ta sig in på marknaden då en extern kontroll av om en tjänst uppfyller förordningens krav kan underlätta att marknadsföra tjäns- ten. Det kan även vara till fördel för tillhandahållare som vill sälja sina tjänster i andra länder.

När det gäller möjligheterna att ställa upp krav för att sådana till- handahållare och tjänster ska få vara med i förteckningen gör vi följande

33https://webgate.ec.europa.eu/tl-browser/#/ (hämtad 2021-01-14).

157

bedömning. Bestämmelserna i eIDAS-förordningen samt förordning- ens syfte måste givetvis beaktas. Vilka krav som ställs på tillhanda- hållare av betrodda tjänster som inte är kvalificerade framgår av arti- kel 19. Upplysningsvis kan här nämnas att det finns ett förslag om att upphäva artikel 19 (se mer om detta i avsnitt 5.6.2). Kraven i artikeln gäller för alla tillhandahållare, oavsett om de är kvalificerade eller inte. Kraven är emellertid i stora delar allmänt hållna. Möjlig- heten enligt artikel 2 i kommissionens genomförandebeslut att ha med icke kvalificerade tillhandahållare och betrodda tjänster i tillits- förteckningen måste enligt vår bedömning innebära en möjlighet för medlemsstaterna att kontrollera att tillhandahållarna lever upp till kraven i eIDAS-förordningen. Sådana kontroller skulle vara i princip omöjliga om det saknas mer detaljerade krav att kontrollera mot. Skrivningen om ”nationell nivå” i skäl 4 i kommissionens beslut samt att icke kvalificerade betrodda tjänster anges vara erkända på nationell nivå i kommissionens Trusted List Browser anser vi ytterligare talar för det. Vår bedömning är att medlemsstater som väljer att tillåta icke kvalificerade tillhandahållare och betrodda tjänster i sina tillits- förteckningar kan ställa upp krav som tillhandahållarna och tjäns- terna måste leva upp till för att vara med i förteckningen.

8.3.4Icke kvalificerade betrodda tjänster som får föras upp på förteckningen

Utredningens förslag: De icke kvalificerade betrodda tjänster som ska kunna föras upp på tillitsförteckningen är tjänster som skapar eller validerar avancerade elektroniska underskrifter alter- nativt avancerade elektroniska stämplar.

Skälen för utredningens förslag

Definitionen av betrodda tjänster i eIDAS-förordningen omfattar olika funktioner inom olika områden. Vår kartläggning visar att de områden där aktörer inom offentlig förvaltning ser störst behov och flest utmaningar är elektroniska underskrifter och elektroniska stämp- lar. När det gäller elektroniska underskrifter är det den avancerade nivån som utmärker sig. En återkommande utmaning är svårigheten

158

att bedöma om en betrodd tjänst skapar avancerade elektroniska underskrifter. Vi tror dessutom att det finns potential till ökad an- vändning av elektroniska stämplar både inom förvaltningen och i ut- byten mellan enskilda och förvaltningen. Vi gör vidare bedömningen att det framför allt är avancerade elektroniska stämplar vars användning kommer öka.

Mot denna bakgrund föreslår vi att betrodda tjänster som skapar eller validerar avancerade elektroniska stämplar och avancerade elek- troniska underskrifter får föras upp på den svenska tillitsförteckningen. Om en sådan tjänst, som finns med i förteckningen har använts av en extern part för att skapa en underskrift eller stämpel, bör det under- lätta valideringen av underskriften eller stämpeln. Detsamma gäller om en aktör i förvaltningen har använt en sådan tjänst för att skapa en underskrift eller stämpel och en annan part behöver validera under- skriften eller stämpeln. De betrodda tjänster som skapar eller valide- rar avancerade elektroniska underskrifter eller stämplar och som kan föras upp på tillitsförteckningen kan tillhandahållas både av kvalifi- cerade och icke kvalificerade tillhandahållare.

Vi föreslår att det i förordning föreskrivs att det är betrodda tjäns- ter som skapar eller validerar avancerade elektroniska underskrifter och stämplar som får vara med i förteckningen. Det har i vår kart- läggning inte framkommit behov eller utmaningar avseende andra betrodda tjänster som föranleder oss att föreslå att dessa tjänster i nuläget bör få vara med i den svenska förteckningen. Om behov upp- står att låta andra betrodda tjänster vara med i tillitsförteckningen kan det möjliggöras genom en ändring av förordningen.

Som framgår av avsnitt 5.12.2 granskar DIGG fristående under- skriftstjänster utifrån den normativa specifikation för sådana tjänster som myndigheten har tagit fram. Dessa tjänster bör falla inom defi- nitionen av betrodda tjänster. För det fall de kan ingå i den svenska tillitsförteckningen bör det granskningsförfarande och godkännande som DIGG i dag utför utmönstras då tillitsförteckningen kommer att fylla samma funktion som godkännandet.

159

8.3.5En ansökan om att föras upp på tillitsförteckningen ska handläggas av tillsynsmyndigheten

Utredningens förslag: Det ska vara frivilligt för icke kvalificerade tillhandahållare att vara med i förteckningen.

En ansökan om att en tillhandahållare eller en betrodd tjänst ska föras upp på tillitsförteckningen ska handläggas av tillsyns- myndigheten.

Om en tillhandahållare av betrodda tjänster begär det ska till- handahållaren eller en betrodd tjänst denne tillhandahåller avföras från tillitsförteckningen.

Skälen för utredningens förslag

Till skillnad från vad som gäller för kvalificerade tillhandahållare av betrodda tjänster, som ska finnas med i respektive medlemsstats tillits- förteckning när de beviljas status som kvalificerade, ska det vara fri- villigt för icke kvalificerade tillhandahållare av betrodda tjänster att föras upp på förteckningen. Vi föreslår därmed inte att det införs ett krav som innebär att icke kvalificerade tillhandahållare måste finnas med i tillitsförteckningen för att få tillhandahålla betrodda tjänster i Sverige.

En tillhandahållare av betrodda tjänster som vill vara med i den svenska tillitsförteckningen ska ansöka om det. Det krävs således en aktiv handling från tillhandahållaren. Ansökan ska omfatta tillhanda- hållaren som sådan och de betrodda tjänster denne vill ska vara med i förteckningen. PTS har till uppgift att tillhandahålla den nuvarande svenska tillitsförteckningen.34 Vi ser ingen anledning att flytta denna uppgift till en annan myndighet. I egenskap av tillsynsmyndighet har PTS i dagsläget också till uppgift att bedöma om en tillhandahållare av betrodda tjänster ska beviljas status som kvalificerad. Vår bedömning är att den möjlighet vi föreslår för icke kvalificerade tillhandahållare av betrodda tjänster att vara med i den svenska tillitsförteckningen är nära förknippat med de uppgifter PTS redan utför på området. Det är därför naturligt att ansökningsförfarandet hanteras av PTS med beaktande av den kompetens och de befintliga strukturer för att

345 § förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.

160

hantera processer avseende kvalificerade tillhandahållare och tjänster som myndigheten redan besitter. För att en icke kvalificerad till- handahållare och icke kvalificerade betrodda tjänster ska få vara med i förteckningen ska det krävas ett beslut om det av PTS, efter det att myndigheten har bedömt tillhandahållarens ansökan.

8.3.6Kriterier och krav för icke kvalificerade tillhandahållare och betrodda tjänster

Utredningens förslag: För att föras upp på förteckningen måste icke kvalificerade tillhandahållare leva upp till vissa kriterier och tekniska krav. Detta gäller även icke kvalificerade betrodda tjäns- ter som tillhandahålls av kvalificerade tillhandahållare.

Skälen för utredningens förslag

De icke kvalificerade tillhandahållare som vill föras upp på tillits- förteckningen behöver leva upp till vissa kriterier och tekniska krav. Detsamma gäller de icke kvalificerade betrodda tjänster som ska vara med i förteckningen. Oavsett om de tillhandahålls av en kvalificerad eller icke kvalificerad tillhandahållare. För tillhandahållarna är utgångs- punkten artikel 19.1 i eIDAS-förordningen, där det föreskrivs att till- handahållare av betrodda tjänster ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som de tillhandahåller. Vidare framgår att med beak- tande av den senaste tekniska utvecklingen ska dessa åtgärder säker- ställa att säkerhetsnivån står i proportion till graden av risk. I synner- het ska åtgärder, enligt bestämmelsen i förordningen, vidtas för att förhindra eller minimera säkerhetsincidenters inverkan samt för att informera berörda parter om de negativa effekterna av eventuella sådana incidenter. Vår bedömning är att eIDAS-förordningen ger med- lemsstaterna utrymme att specificera hur tillhandahållare kan leva upp till dessa krav, i synnerhet om en medlemsstat väljer att låta icke kvalificerade tillhandahållare vara med i sin tillitsförteckning. Hur tillhandahållarna kan leva upp till kraven fordrar sådan detaljregler- ing att det lämpligen fastställs i myndighetsföreskrifter.

161

För betrodda tjänster gäller olika bestämmelser för respektive tjänst. Vilka tjänster vi föreslår ska få vara med i förteckningen fram- går av avsnitt 8.3.4. Även för tjänsterna kommer detaljnivån för hur de kan leva upp till kraven vara sådan att detaljerna lämpligen fast- ställs i myndighetsföreskrifter. Vi föreslår därför att PTS får före- skriftsrätt för detta ändamål.

Det kommer således vara upp till PTS att genom föreskrifter fast- ställa detaljerna i det som kommer att ligga till grund för myndig- hetens bedömning om en tillhandahållare eller en betrodd tjänst lever upp till uppställda kriterier och tekniska krav och därigenom får föras upp på tillitsförteckningen. Det är enligt vår mening viktigt att kommande kriterier och tekniska krav i myndighetsföreskrifter är välbalanserade. De måste uppnå sitt syfte, dvs. att de leder till tillit, och samtidigt gå att leva upp till genom ansträngningar som är rim- liga att begära av tillhandahållarna. Kriterierna och de tekniska kraven bör inte vara lika omfattande som de som ställs på kvalificerade tillhandahållare och kvalificerade betrodda tjänster, eftersom syftet med att tillåta icke kvalificerade tillhandahållare och tjänster på för- teckningen då skulle gå förlorat. Kriterierna och de tekniska kraven behöver självfallet också beakta EU-rätten i allmänhet och eIDAS- förordningen i synnerhet. Kriterier som t.ex. per automatik ute- stänger tillhandahållare som är etablerade i andra medlemsstater än Sverige kan inte anses förenliga med bestämmelserna om fri rörlighet och riskerar att äventyra strävandet efter harmonisering inom om- rådet. För det fall myndigheten väljer att peka mot standarder kan det därför vara lämpligt att i möjligaste mån peka mot europeiska standarder eller andra internationella standarder vars användning är utbredd i Europa. Det är emellertid samtidigt viktigt att beakta den princip om teknikneutralitet som förordningen ger uttryck för.

PTS har i dagsläget ingen föreskriftsrätt avseende de krav som kvalificerade tillhandahållare ska leva upp till. I stället hänvisar PTS i sin vägledning avseende betrodda tjänster till sätt för tillhandahållare att leva upp till kraven i eIDAS-förordningen.35 Eftersom kraven på kvalificerade tillhandahållare är mer omfattande i eIDAS-förordningen, och behovet av kompletterande bestämmelser därigenom mindre, ser

viingen motsättning i att PTS får föreskriftsrätt avseende kriterierna och de tekniska kraven för icke kvalificerade tillhandahållare att tas upp i förteckningen.

35PTS, Vägledning för betrodda tjänster i Sverige enligt eIDAS (Utgåva 3), 10 juni 2020.

162

8.3.7Kontroll av efterlevnad m.m.

Utredningens förslag: Tillsynsmyndigheten ska återkommande bedöma om en icke kvalificerad tillhandahållare eller icke kvalifi- cerad betrodd tjänst som finns med i tillitsförteckningen fortfar- ande lever upp till uppställda kriterier och tekniska krav. Tillsyns- myndigheten ska ha möjlighet att förelägga en tillhandahållare om att säkerställa att den, eller en betrodd tjänst, lever upp till dessa kriterier och tekniska krav.

Tillsynsmyndigheten får också besluta om att avföra en tillhanda- hållare eller betrodd tjänst som inte längre lever upp till uppställda kriterier och tekniska krav från tillitsförteckningen. Tillsynsmyn- digheten får bestämma att ett sådant beslut ska gälla omedelbart.

Tillsynsmyndighetens beslut får överklagas till allmän förvalt- ningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Skälen för utredningens förslag

Tillsyn över betrodda tjänster regleras i eIDAS-förordningen. För tillsyn över kvalificerade tillhandahållare finns i artikel 20 särskilda bestämmelser. Kraven på medlemsstaternas tillsynsorgan när det gäl- ler tillsyn är betydligt mer omfattande för kvalificerade tillhanda- hållare än för icke kvalificerade. Det innebär inte per automatik att det finns ett utrymme för medlemsstaterna att införa mer omfattande tillsyn för icke kvalificerade tillhandahållare. Utgångspunkten bör enligt vår bedömning i stället vara att anse tillsynen över betrodda tjänster som harmoniserad på EU-nivå, eftersom tillsynsbestämmel- serna i förordningen rör både kvalificerade och icke kvalificerade tillhandahållare.

Med hänsyn till att eIDAS-förordningen tillåter medlemsstaterna att ha även icke kvalificerade tillhandahållare på sina tillitsförteckningar måste det dock finnas utrymme för någon form av kontroll förenat med det. Enligt vårt förslag ska en icke kvalificerad tillhandahållare som vill vara med på den svenska förteckningen ansöka om det hos tillsynsmyndigheten PTS. PTS ska därför bedöma om en icke kvalifi- cerad tillhandahållare och/eller betrodd tjänst uppfyller de kriterier och tekniska krav som föreskrivs i eIDAS-förordningen och i myn-

163

dighetsföreskrifter. Om det efter en sådan bedömning saknas möj- ligheter till återkommande uppföljning riskerar tilliten till tillhanda- hållarna och deras betrodda tjänster att minska ju längre tiden går. Det skulle med andra ord inte vara tillfredsställande ur ett tillits- perspektiv om en tillhandahållare eller tjänst som har genomgått bedömningen kan vara med i förteckningen för all framtid utan uppföljning. Vi föreslår mot bakgrund av det att PTS återkommande gör en ny bedömning om den aktuella tillhandahållaren eller tjänsten lever upp till uppställda kriterier och tekniska krav. För kvalificerade tillhandahållare gäller enligt artikel 20.1 i eIDAS-förordningen att de minst en gång vartannat år och på egen bekostnad ska granskas av ett organ för bedömning av överensstämmelse. Vi bedömer att det kan vara ett lämpligt tidsintervall också för bedömningen avseende icke kvalificerade tillhandahållare och betrodda tjänster. Till det kommer kravet i artikel 19.2 i förordningen på alla tillhandahållare att utan dröjsmål och senast inom 24 timmar rapportera säkerhets- incidenter eller integritetsförluster som i betydande omfattning på- verkar den betrodda tjänst som tillhandahålls eller på de person- uppgifter som ingår i denna till PTS. Sådana incidenter kan, beroende på sin karaktär och omfattning, påverka bedömningen om tillhanda- hållaren eller tjänsten fortsatt lever upp till kraven.

För det fall en tillhandahållare eller tjänst konstateras inte längre leva upp till uppställda kriterier och tekniska krav för att vara med i förteckningen måste det finnas sanktionsmöjligheter. PTS bör ha möjlighet att förelägga en tillhandahållare om att säkerställa att den eller en betrodd tjänst lever upp till det som åligger dem. Sådana möjligheter finns redan i 6 § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Enligt paragrafens första stycke får tillsynsmyndigheten meddela de förelägganden och förbud som behövs för efterlevnaden av lagen och föreskrifter som har meddelats med stöd av lagen samt efterlevnaden av eIDAS-förordningen och rättsakter som har meddelats med stöd av den. PTS kommer, i egenskap av tillsynsmyndighet, att med stöd av bestämmelsen kunna meddela nödvändiga förelägganden och för- bud också avseende de icke kvalificerade tillhandahållare och betrodda tjänster som förs upp på tillitsförteckningen.

Det bör emellertid också vara möjligt för PTS att besluta om att avföra en icke kvalificerad tillhandahållare eller en icke kvalificerad tjänst från tillitsförteckningen om de inte längre bedöms leva upp till

164

uppställda kriterier och tekniska krav. Med anledning av att det kan leda till allvarliga säkerhetsrisker att ha tillhandahållare eller tjänster kvar i förteckningen som inte lever upp till kriterierna eller de tek- niska kraven bör tillsynsmyndigheten få bestämma att ett beslut om att avföra en icke kvalificerad tillhandahållare eller tjänst från för- teckningen ska gälla omedelbart. För kvalificerade tillhandahållare samt kvalificerade betrodda tjänster är förekomsten på tillitsförteck- ningen enligt eIDAS-förordningen kopplat till statusen som kvalifice- rad. Att tillhandahållare och tjänster kan förlora statusen som kvalifice- rad regleras redan i artikel 20.3 i förordningen, där det också framgår att tillitsförteckningen då ska uppdateras.

PTS beslut rörande tillitsförteckningen ska kunna överklagas till allmän förvaltningsdomstol. I likhet med vad som är huvudregeln för överklagande av förvaltningsbeslut bör prövningstillstånd krävas för överprövning i kammarrätten. Bestämmelser om detta finns redan i 8 § i lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och någon ändring av lagen krävs således inte av denna anledning.

8.4En nationell valideringstjänst

8.4.1Inledning

Utredningen om effektiv styrning av nationella digitala tjänster fram- förde att skyldigheten att erkänna elektroniska underskrifter och stämplar från andra medlemsstater innebär ett behov för svenska tillhandahållare av e-tjänster, dvs. aktörer inom offentlig förvaltning, att kunna validera dessa.36 Utredningen anförde även att det är både svårt och betungande för varje statlig myndighet, kommun och region att själva upphandla den nödvändiga funktionaliteten som krävs för att validera elektroniska underskrifter och stämplar.37 Vårt kartläggningsarbete har visat att dessa svårigheter inte bara gäller validering av elektroniska underskrifter från andra länder utan även validering av svenska elektroniska underskrifter. Många aktörer inom förvaltningen beskriver att de upplever svårigheter med valideringen och har framfört att en gemensam tjänst skulle underlätta hanter- ingen. En förvaltningsgemensam valideringstjänst bör också leda till

36reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 385 f.

37A.a.

165

att varje aktör inom förvaltningen inte var för sig behöver lösa frågor rörande vad som ska valideras och hur. Flera andra medlemsstater, däribland Danmark, Nederländerna och Österrike har centrala vali- deringstjänster som den offentliga förvaltningen inom respektive land kan nyttja.38 Vissa av tjänsterna är tillgängliga även för enskilda indi- vider. Utredningen om effektiv styrning av nationella digitala tjäns- ter föreslog att en sådan samlad valideringstjänst bör införas i Sverige eller åtminstone upphandlas centralt för nyttjande av den offentliga förvaltningen. Utredningen föreslog vidare att det som sedermera blev DIGG skulle ges detta uppdrag.39 Vid remissbehandlingen av betänkandet tillstyrktes förslaget av Bolagsverket och Statskontoret, men kommenterades inte av övriga remissinstanser. En validerings- tjänst i enlighet med utredningens förslag har inte tagits fram.

Sedan utredningen lämnade förslaget har det pågått olika arbeten med valideringstjänster, bl.a. har Vinnova finansierat utveckling av en sådan tjänst.40 Den valideringstjänst som finansierats av Vinnova har etablerats inom SUNET (Swedish University Computer Net- work), som är en del av Vetenskapsrådet, för användning av univer- sitet och högskolor. DIGG har även angett att de har som mål att under åren 2021 till 2022 ta fram en valideringstjänst.41

8.4.2Myndigheten för digital förvaltning ska tillhandahålla en nationell valideringstjänst

Utredningens förslag: Myndigheten för digital förvaltning ska tillhandahålla en nationell valideringstjänst. Tjänsten ska regleras i författning.

38Se t.ex. https://validatie.justid.nl (hämtad 2021-01-14) och

www.rtr.at/TKP/was_wir_tun/vertrauensdienste/Signatur/signaturpruefung/Pruefung.en.html (hämtad 2021-01-14).

39reboot – omstart för den digitala förvaltningen (SOU 2017:114), s. 385 f.

40www.vinnova.se/p/arkiveringsbara-digitala-underskrifter/ (hämtad 2021-01-14).

41DIGG, Uppdrag om stödjande åtgärder vid nationellt införande av eIDAS-förordningen (dnr 2019-90), s. 20.

166

Skälen för utredningens förslag

Sett till vad som framkommit inom ramen för vårt kartläggnings- arbete anser vi att behovet av en förvaltningsgemensam validerings- tjänst kvarstår och därtill har stärkts sedan Utredningen om effektiv styrning av nationella digitala tjänster lämnade sitt förslag. Mot denna bakgrund föreslår vi att DIGG ska tillhandahålla en nationell valideringstjänst. Det har under vårt kartläggningsarbete inte fram- kommit skäl att göra användningen av valideringstjänsten tvingande och det ska därför vara upp till respektive aktör att avgöra om de vill nyttja tjänsten.

Behov av författningsreglering

I motsats till det förslag som lämnades av Utredningen om effektiv styrning av nationella digitala tjänster anser vi att den nationella vali- deringstjänsten bör regleras i författning. Reglering av tjänsten i för- fattning ger förutsättningar för transparens och förutsebarhet. Tjäns- ten kommer vidare att vara en viktig komponent i den gemensamma infrastrukturen som tillgodoser den offentliga förvaltningens behov och genom författningsreglering ges bättre förutsättningar för tydlig styrning inom området. Vi bedömer även att författningsreglering av tjänsten skapar bättre förutsättningar för acceptans i andra med- lemsstater av sådant som tjänsten framöver eventuellt kan användas för att skapa, exempelvis valideringsintyg (se mer om sådana intyg i avsnitt 8.5.4).

Detaljreglering kopplad till tjänsten bör regleras i förordning eller myndighetsföreskrifter. Vi föreslår att det i förordning föreskrivs vad den nationella valideringstjänsten ska utföra, dvs. validera under- skrifter och stämplar som inkommer respektive skapas av offentliga aktörer. Genom att reglera användningsområdet i förordning går det att i framtiden utöka eller begränsa det genom en enklare process än om det hade krävts en lagändring. Merparten av den detaljreglering av tjänsten som vi bedömer kommer vara nödvändig bör lämpligen regleras genom myndighetsföreskrifter. DIGG bör därför ha före- skriftsrätt avseende tjänsten. Hur valideringstjänsten ska fungera i detalj och vilka funktioner och gränssnitt den erbjuder användarna bör alltså enligt vår uppfattning, med beaktande av offentliga aktö- rers och övriga användares behov, lämnas till DIGG att närmare

167

bestämma. Vi kan emellertid utifrån vår kartläggning dra vissa slut- satser om vilka behov tjänsten bör tillgodose.

De behov som finns kan skilja sig åt mellan olika aktörer och mellan olika verksamhetsgrenar inom en och samma aktör. Vidare hanterar olika aktörer olika typer av uppgifter, inte sällan kan sådana uppgifter av olika anledningar bedömas som känslig. Tjänsten bör därför finnas i en central version samt i en version som går att in- stallera lokalt. Vi kan konstatera att vissa aktörer inom förvaltningen har behov av att kunna validera automatiskt, dvs. från maskin till maskin. Det bör därför vara möjligt att utföra genom tjänsten. Det bör också vara möjligt att validera manuellt, dvs. när en användare aktivt måste utföra vissa moment för att en validering ska kunna genomföras.

8.4.3Användning av den nationella valideringstjänsten

Utredningens förslag: Den nationella valideringstjänsten ska kunna användas av offentliga aktörer för validering av elektro- niska underskrifter och stämplar samt enskilda som behöver validera elektroniskt undertecknade eller stämplade handlingar som skapats av offentliga aktörer.

Myndigheten för digital förvaltning ska ges möjlighet att ta ut en avgift för användning av valideringstjänsten.

Skälen för utredningens förslag

Till skillnad från det förslag som lämnades av Utredningen om effek- tiv styrning av nationella digitala tjänster anser vi utifrån de behov vi identifierat att tjänsten även bör omfatta validering av elektroniska stämplar samt validering av elektroniska underskrifter eller stämplar som är skapade i Sverige. De situationer vi anser att den nationella valideringstjänsten ska kunna användas för är när elektroniskt under- tecknade eller stämplade handlingar inkommer till den offentliga förvaltningen samt när externa aktörer behöver validera elektroniskt undertecknade eller stämplade handlingar som har skapats av offent- liga aktörer (se mer nedan om vilka aktörer som ingår i denna krets).

168

Elektroniskt undertecknade eller stämplade handlingar som in- kommer till den offentliga förvaltningen kan inkomma antingen inom ramen för en e-tjänst som den aktuella aktören tillhandahåller eller via exempelvis e-post. Vår kartläggning visar att behovet av att kunna validera dessa handlingar är stort och att många aktörer upp- lever svårigheter eller hinder mot att kunna validera dem. För dessa situationer ska valideringstjänsten kunna användas.

Den andra situationen som valideringstjänsten ska kunna användas till är när aktörer inom förvaltningen skapar elektroniska under- skrifter eller stämplar. I dessa situationer ser vi primärt att det är externa parter, exempelvis privatpersoner, företag eller andra aktörer inom förvaltningen som har behov av att kunna validera underskrif- terna eller stämplarna. Det kan exempelvis vara ett elektroniskt under- tecknat eller stämplat beslut av en myndighet i digital form som skickas digitalt till ett företag. Företaget kan då ha behov av att kunna validera underskriften eller stämpeln. Beslutet kan också vara av sådan karaktär att det behöver användas av tredje part, exempelvis en bank, som har ett behov av att kunna validera underskriften eller stämpeln. I sådana situationer bör den nationella valideringstjänsten kunna användas. Vi kan heller inte utesluta att det även kan finnas situatio- ner när underskrifterna eller stämplarna måste valideras av den aktör vars tjänst har skapat dem.

Vår uppfattning är att det i dagsläget inte finns anledning att göra det tvingande för den offentliga förvaltningen att endast använda sig av elektroniska underskrifter och stämplar som går att validera i den nationella valideringstjänsten. Det kan exempelvis finnas situationer där det av olika anledningar inte är lämpligt. Vår bedömning är emel- lertid att möjligheten att kunna erbjuda externa parter tillfälle att använda den nationella valideringstjänsten kommer att vara ett starkt incitament för aktörer inom den offentliga förvaltningen att skapa underskrifter och stämplar som kan valideras i tjänsten.

I linje med det som framförs ovan föreslår vi att den nationella valideringstjänsten ska vara avsedd att användas dels av den offent- liga förvaltningen, dels av externa parter om underskriften eller stämp- eln härrör från förvaltningen. Utöver detta anser vi att kretsen som kan nyttja tjänsten bör utökas ytterligare. Anledningen till detta är att det under utredningsarbetets gång framförts att det även finns behov av att låta bl.a. privata utförare använda en nationell valider- ingstjänst. Framför allt inom utbildnings- och vårdsektorerna. Vad

169

avser frågan om vilka aktörer som ska omfattas gör utredningen följande överväganden.

Genom lagen om tillgänglighet till digital offentlig service (se mer om denna lag i avsnitt 8.1.3) uppställs krav om tillgänglighetsanpass- ning av webbplatser och mobila applikationer. I lagens förarbeten bedömde regeringen att tillämpningsområdet, i relation till det EU- direktiv lagen genomför i svensk rätt, skulle utvidgas till att även om- fatta privata aktörer som yrkesmässigt bedriver verksamhet inom särskilt utpekade områden och som till någon del är offentligt finan- sierad.42

I en nyligen publicerad departementspromemoria föreslås att val- frihetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering ska ersättas av auktorisations- system för sådana tjänster och att regleringen ska utvidgas till att omfatta digital post.43 Vidare föreslås att även samma krets privata aktörer som omfattas av lagen om tillgänglighet till digital offentlig service ska kunna få använda de tjänster för elektronisk identifiering och för digital post som tillhandahålls inom auktorisationssystemen.44 Detta motiveras bl.a. med att den privata sektorns medverkan när det gäller digitala tjänster kan bidra till ökad användarnytta, tillväxt och innovation. I promemorian anförs vidare att stora delar av den kommunala verksamheten utförs i privat regi. De aktörer som verkar inom skolområdet, hälso- och sjukvårdsområdet samt socialtjänst- området består till stor del av privata aktörer. Dessa behöver enligt promemorian ha samma förutsättningar att erbjuda digitala tjänster som de offentliga aktörer som verkar inom samma område.45 Ytter- ligare en aspekt som lyfts fram i promemorian är att för att dessa aktörer ska kunna tillhandahålla digital service i form av digitala tjänster och digitala utskick krävs att de har tillgång till tjänster för elektronisk identifiering och för digital post. En fördel med att låta samma, tydligt definierade, krets som omfattas av kraven på tillgäng- lighet till digital offentlig service använda tjänster inom auktorisa- tionssystem är enligt promemorian att de privata utförare som om- fattas av kraven därmed får möjlighet att erbjuda denna service på

42Prop. 2017/18:299 s. 33.

43Promemoria Auktorisationssystem för elektronisk identifiering och för digital post, 21 december 2020, s.1.

44A.a. s. 29.

45A.a. s. 30.

170

samma villkor som de utförare som bedriver sin verksamhet i offent- lig regi.46 Vi anser att den ovan redovisade argumentationen även kan tillämpas på åtkomsten till den nationella valideringstjänsten. Fram- för allt med beaktande av att det medför att alla utförare av offentligt finansierad verksamhet ges möjlighet att erbjuda offentlig service med hjälp av digitala tjänster på lika villkor. Mot denna bakgrund anser vi att samma krets aktörer som omfattas av kraven i lagen om tillgänglighet till digital offentlig service ska kunna använda tjänsten och att de på samma sätt som i den lagen tillsammans med myndig- heterna som omfattas samlat ska benämnas offentliga aktörer.

Den krets av privata aktörer som ges tillgång till valideringstjänsten blir då privata aktörer inom vissa områden som yrkesmässigt bedri- ver verksamhet som till någon del är offentligt finansierad. Med offent- lig finansiering avses ett direkt stöd eller betalning från det allmänna för att driva verksamheten. Det kan t.ex. vara fråga om bidrag till skolor med enskild huvudman som ges med stöd av skollagen, ersätt- ning som ges med stöd av lagen (1993:1651) om läkarvårdsersättning eller verksamhet som upphandlas av det allmänna av privata utförare. Ett krav bör vara att finansieringen är kopplad till själva driften av verksamheten. Om viss ekonomisk ersättning från det allmänna inte avser själva driften av verksamheten bör alltså ersättningen inte med- föra att verksamheten anses vara offentligt finansierad.47 Att verk- samheten är yrkesmässigt bedriven innebär att verksamheten bedrivs kontinuerligt och i förvärvssyfte.48

De aktörer som omfattas är de som bedriver verksamhet som

•aktören bedriver i egenskap av enskild huvudman inom skolväsen- det eller huvudman för en sådan internationell skola som avses i 24 kap. skollagen (2010:800),

•utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125), eller

•bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda be- stämmelser om vård av unga, lagen (1993:387) om stöd och service till vissa funktionshindrade eller utgör personlig assistans som ut- förs med assistansersättning enligt 51 kap. socialförsäkringsbalken.

46A.a. s. 31 f.

47Prop. 2016/17:31 s. 28.

48Prop. 2017/18:299 s. 87.

171

Därtill omfattas enskilda utbildningsanordnare med tillstånd att ut- färda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad nivå eller för utbildning på forskarnivå.

Att erbjuda möjlighet att använda tjänsten till samma krets aktörer som omfattas av kraven i lagen om tillgänglighet till digital offentlig service innebär att även offentligt styrda organ omfattas. Med offent- ligt styrt organ avses en sådan juridisk person som tillgodoser behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär och som uppfyller vissa krav avseende finansiering, kontroll eller styrelserepresentation.49

DIGG bör ges möjlighet att ta ut en avgift för användning av vali- deringstjänsten. Vi anser dock inte att avgifter ska tas ut för enskildas validering av underskrifter och stämplar som skapats av offentliga aktörer. Vi anser vidare att möjligheten att ta ut avgifter av offentliga aktörer inte bör användas, i vart fall inte inledningsvis. Detta då det kan motverka användning av tjänsten och således även inverka nega- tivt på de nyttor som den kan medföra för den offentliga förvalt- ningen.50

Eftersom vi inte föreslår en tjänst som är avsedd att användas för andra typer av validering än som anges ovan kommer det krävas lämp- liga lösningar för att säkerställa att dessa begränsningar upprätthålls. Även om vi inte föreslår en valideringstjänst som är öppen för alla på så sätt som finns i vissa andra av EU:s medlemsstater kan vi inte utesluta att det finns behov av en allmänt tillgänglig valideringstjänst. Sådan användning av valideringstjänsten får emellertid anses falla utanför vårt uppdrag att föreslå.

49Se mer om definitionen av offentligt styrt organ i prop. 2017/18:299 s. 30 f.

50Se DIGG m.fl. Delredovisning – Uppdrag att etablera en förvaltningsgemensam digital infra- struktur för informationsutbyte (AD 2019:582), 29 januari 2021, s. 51 ff. för ett mer utvecklat resonemang kring nackdelarna med avgiftsuttag för förvaltningsgemensamma tjänster.

172

8.4.4Tillitsförteckningen, format och erkännande av underskrifter och stämplar

Utredningens förslag: Den nationella valideringstjänsten ska kunna validera underskrifter och stämplar som har skapats av be- trodda tjänster i den svenska tillitsförteckningen samt förteck- ningar i andra länder som upprättats i enlighet med artikel 22 i eIDAS-förordningen.

Utredningens bedömning: Den nationella valideringstjänsten bör kunna validera olika format.

Valideringstjänsten bör utformas på ett sådant sätt att under- skrifter och stämplar kan valideras även från utlandet.

Skälen för utredningens förslag och bedömning

Det finns tekniska aspekter och aspekter kopplade till tillit att ta hänsyn till vid framtagandet av tjänsten. För att tjänsten ska fungera ändamålsenligt behöver den kunna avgöra vilka tillhandahållare och i förlängningen betrodda tjänster som det går att lita på. På EU-nivå finns som nämnts tidigare medlemsstaternas tillitsförteckningar. Tjänsten bör enligt vår bedömning som utgångspunkt förlita sig på dessa. Det innebär att vårt förslag att utöka den svenska tillitsförteck- ningen blir viktigt för validering av svenska underskrifter. Om den svenska tillitsförteckningen utökas till att omfatta även icke kvalifi- cerade tillhandahållare av betrodda tjänster kommer exempelvis avan- cerade elektroniska underskrifter, som är skapade av tjänster som tillhandahålls av dessa aktörer, att kunna valideras genom validerings- tjänsten. Genom att ha tillitsförteckningen som utgångspunkt kom- mer utländska elektroniska underskrifter och stämplar att kunna valideras i tjänsten, dock primärt sådana som är kvalificerade efter- som den absoluta merparten av de tillhandahållare och tjänster som är uppförda på andra medlemsstaters tillitsförteckningar är kvalifice- rade. Som framgår av avsnitt 8.3.1 är vår bedömning att användning av den infrastruktur och det ramverk som redan finns på europeisk nivå, i och med tillitsförteckningen, minskar risken för negativ på- verkan på den inre marknaden i dessa avseenden. Det kan emellertid enligt vår uppfattning finnas behov hos enskilda aktörer inom för-

173

valtningen att kunna validera underskrifter och stämplar som har skapats av tjänster som inte finns med i tillitsförteckningen, detta borde vara möjligt vid användning av lokalt installerade versioner av valideringstjänsten.

Enligt vår bedömning bör tjänsten kunna hantera och validera olika tekniska format och specifikationer. Mot bakgrund av att den offentliga förvaltningen behöver kunna hantera de format och speci- fikationer som anges i kommissionens genomförandebeslut (EU) 2015/1506 bör tjänsten kunna validera dessa. På så sätt säkerställs att den svenska offentliga förvaltningen lever upp till kraven i artikel 27 och 37 i eIDAS-förordningen om att erkänna dessa format. Även andra format och specifikationer kan emellertid vara aktuella för valideringstjänsten. Vilka format tjänsten kan validera bör lämnas till DIGG att ange i myndighetsföreskrifter.

Vår bedömning är vidare att valideringstjänsten har potential att kunna öka möjligheterna för aktörer i den offentliga förvaltningen att få de underskrifter och stämplar som används erkända av aktörer i andra medlemsstaters offentliga förvaltningar. Detta eftersom det av artikel 2 och 4 i kommissionens genomförandebeslut (EU) 2015/1506 föreskrivs att en medlemsstat som begär en avancerad elektronisk underskrift eller en avancerad elektronisk underskrift, respektive stämpel, som är baserad på ett kvalificerat certifikat ska erkänna andra format av elektroniska underskrifter än de som listas i beslutet. Detta under förutsättning att den medlemsstat där tillhandahållaren av betrodda tjänster som användes av undertecknaren är etablerad erbjuder andra medlemsstater möjligheter till kostnadsfri validering av underskrift som är lämpad, när så är möjligt, för automatiserad behandling. Vår bedömning är att den nationella valideringstjänsten har potential att vara en sådan valideringstjänst som avses. Därför bör de krav som finns i genomförandebeslutet avseende möjligheter till validering (artikel 2.2 och artikel 4.2) beaktas vid framtagandet av den nationella valideringstjänsten.

8.4.5Informationssäkerhetshetsaspekter

Valideringstjänsten kommer att vara en viktig komponent i den infrastruktur som byggs upp för betrodda tjänster och den offentliga förvaltningen i stort. Det är rimligt att anta att många aktörer inom

174

förvaltningen kommer att använda sig av tjänsten för validering av underskrifter och stämplar. Således är det mycket viktigt att tjänsten har en hög säkerhet och att tillgången till den inte hindras eller störs. Det är mot denna bakgrund lämpligt med säkerhetsgranskningar och penetrationstester vid etablering av tjänsten och därefter även vid omfattande förändringar av tjänsten. Vid framtagandet av tjänsten blir därför frågor om informationssäkerhet, redundans och geogra- fisk spridning viktiga för DIGG att beakta. Med redundans menas att den finns i flera likvärdiga instanser som vid bortfall av en instans kan ta hela lasten om den andra eller någon annan instans blir otill- gänglig av något skäl. Med geografisk spridning menas att det finns instanser på flera geografiska platser i landet så att bortfall av en in- stans på en geografisk plats inte medför otillgänglighet.

Tjänsten kan komma att hantera säkerhetsskyddskänslig infor- mation vilket även det är en viktig aspekt att väga in och bedöma vid framtagandet och tillhandahållandet av tjänsten. I detta sammanhang blir det viktigt att beakta principer om t.ex. dataminimering. Det finns enligt vår uppfattning skäl som talar för att aktörer inom för- valtningen som har för avsikt att validera underskrifter och stämplar där handlingarna innehåller särskilt känslig information bör använda sig av en lokalt installerad version av valideringstjänsten.

8.4.6Behandling av personuppgifter

Utredningens förslag: Stöd för nödvändning behandling av per- sonuppgifter i den nationella valideringstjänsten ska föreskrivas i lag.

Skälen för utredningens förslag

En viktig fråga som kommer att behöva hanteras vid en eventuell realisering av valideringstjänsten är hur personuppgifter behandlas samt hur ansvarsfördelningen ska se ut. Vad som utgör en person- uppgift definieras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

175

dataskyddsförordning), härefter kallad dataskyddsförordningen. Av artikel 4.1 i dataskyddsförordningen följer att en personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identi- fierare som ett namn, ett identifikationsnummer, en lokaliserings- uppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Personupp- giftsansvarig är enligt artikel 4.7 i dataskyddsförordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och med- len för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Behandling av personuppgifter kan komma att aktualiseras främst vid validering av elektroniska underskrifter eftersom underskriften ska vara knuten till undertecknaren, dvs. en viss person. Beroende på utformning av tjänsten kan även behandling av de undertecknade eller stämplade handlingarnas innehåll komma att ske.

Den ena typen av användning vi ser framför oss är som tidigare nämnts validering av undertecknade och stämplade handlingar som inkommer till en offentlig aktör. För de handlingar som har lämnats in till aktören är den personuppgiftsansvarig vid behandling av de aktuella personuppgifterna. Validering i tjänsten kommer alltid att ske på uppdrag av respektive offentlig aktör och det är på så sätt inte en självständig process. Vår bedömning är att DIGG i egenskap av till- handahållare av tjänsten måste anses vara personuppgiftsbiträde och inte personuppgiftsansvarig i en sådan situation. Ett personuppgifts- biträde är enligt artikel 4.8 i dataskyddsförordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Mot den bakgrunden kommer det att behövas ett personuppgifts- biträdesavtal mellan den offentliga aktören och DIGG. Ett sådant avtal skulle kunna ingås i samband med att aktören ges tillgång till tjänsten. Vid användning av förvaltningsgemensamma tjänster är det inte ovanligt att det är personuppgiftsbiträdet, som också kan vara

176

den part som utvecklar och förvaltar tjänsten i fråga, som utformar personuppgiftsbiträdesavtalen.51 Det förefaller rimligt att denna modell används gällande den nationella valideringstjänsten.

Vi bedömer därför att det inte behövs något särskilt författnings- stöd avseende DIGG och personuppgiftsbehandlingen i dessa situa- tioner. Varje offentlig aktör som avser att behandla personuppgifter med stöd av valideringstjänsten måste själv säkerställa att den har stöd för behandlingen, t.ex. i aktuell registerförfattning.

För underskrifter som skapas av en offentlig aktör kan situatio- nen emellertid vara en annan om underskriften skickas till en extern part, t.ex. om ett elektroniskt undertecknat beslut skickas som ett PDF-dokument till en privatperson. Om en enskild person vill vali- dera underskriften kan det saknas en aktör som är personuppgifts- ansvarig. DIGG kan i dessa situationer då bli personuppgiftsansvarig. Att myndigheten ska tillhandahålla den nationella valideringstjänsten kommer att föreskrivas i författning, likaså att det i tjänsten bl.a. ska gå att validera elektroniska underskrifter. Det går därför att argumen- tera för att eventuell personuppgiftsbehandling har stöd i och med att det grundar sig i en sådan rättslig förpliktelse som anges som rättslig grund för personuppgiftsbehandling i artikel 6.1 c i dataskyddsför- ordningen. Vi anser emellertid att det för tydlighetens skull bör före- skrivas i lag att personuppgifter får behandlas och att det endast får ske i den mån det är nödvändigt för att kunna validera den aktuella underskriften. Den författningsreglering vi föreslår avser endast den eventuella personuppgiftsbehandling DIGG kommer att utföra.

Behandling av personuppgifter av DIGG kan också bli aktuellt beroende på vilken lösning som används för att ge tillgång till valider- ingstjänsten. Eftersom vi föreslår att myndigheten genom myndig- hetsföreskrifter fastställer villkoren för användning kan vi inte bedö- ma vilka uppgifter som kan komma att behandlas och hur. Vi föreslår dock att det i lag föreskrivs att personuppgifter får behandlas för detta ändamål i den mån det är nödvändigt.

Vid framtagandet av den nationella valideringstjänsten måste det även säkerställas att tillämpliga bestämmelser och principer avseende skydd för behandling av personuppgifter beaktas och att tjänsten lever upp till dem.

51Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 109 f.

177

8.4.7Offentlighet och sekretess

Utredningens bedömning: Validering av elektroniska under- skrifter och stämplar i den nationella valideringstjänsten bör om- fattas av undantagen för teknisk bearbetning och lagring i 2 kap. 13 § första stycket tryckfrihetsförordningen respektive 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen (2009:400).

Skälen för utredningens bedömning

Hur regelverken för offentlighet och sekretess påverkar användning av den nationella valideringstjänsten går enligt vår uppfattning inte att besvara fullt ut eftersom detaljerade bestämmelser om tjänsten rörande dess funktion och villkor för användning ännu inte är fram- tagna. Det är däremot möjligt att göra vissa allmänna bedömningar utifrån vårt förslag.

Allmänhetens rätt till tillgång till allmänna handlingar (handlings- offentligheten) är grundlagsskyddad och regleras i 2 kap. tryckfrihets- förordningen (TF). Syftet med bestämmelserna är i huvudsak att ge allmänheten insyn i myndigheternas verksamhet. Handlingen är enligt 2 kap. 4 § TF allmän om den förvaras hos en myndighet och är in- kommen till eller upprättad hos myndigheten.

De undertecknade eller stämplade handlingar som aktörer inom den offentliga förvaltningen önskar validera genom tjänsten kommer att vara inkomna till den aktuella aktören och således som huvud- regel vara att anse som allmänna. Om underskriften eller stämpeln ska valideras i valideringstjänsten kommer emellertid även DIGG hantera sådana handlingar eller delmängder av deras innehåll. Av 2 kap. 13 § första stycket TF framgår att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning för någon annans räkning inte anses som allmän handling hos den myn- digheten. Vi bedömer att valideringen av underskriften eller stämpeln bör utgöra en sådan teknisk bearbetning som skulle innebära att hand- lingen inte anses som inkommen hos DIGG. Detsamma bör gälla om en aktör vars verksamhet till någon del är offentligt finansierad vill validera en underskrift eller en stämpel, eftersom förvaringen hos DIGG även då utgör ett led i teknisk bearbetning för någon annans räkning. Det beror emellertid, som påpekas ovan, på hur tjänsten och

178

villkoren för användningen utformas. Samma resonemang bedömer

viär relevant i de fall enskilda vill validera en underskrift eller stämpel som är skapad av en aktör i den offentliga förvaltningen och tjänsten är skapad på ett sådant sätt att användaren som ska validera kan anses ha tillgång till ett s.k. eget utrymme.52

Uppgifter hos myndigheter kan omfattas av sekretess. Sekretess gäller som huvudregel även mellan myndigheter och en myndighet får i ett sådant läge inte lämna uppgiften till en annan myndighet om detta inte medges särskilt. I 11 kap. 4 a § offentlighets- och sekre- tesslagen (2009:400, OSL) finns emellertid en bestämmelse som likt bestämmelsen i tryckfrihetsförordningen ovan medger undantag för teknisk bearbetning och lagring. Tillämpningsområdet för bestäm- melsen är detsamma som för undantagsbestämmelsen i tryckfrihets- förordningen.53 Bestämmelsen gäller emellertid enligt 11 kap. 8 § OSL inte om en primär sekretessbestämmelse redan är tillämplig på upp- gifterna hos den mottagande myndigheten. I sådant fall ska i stället den primära sekretessbestämmelsen tillämpas.

Av 11 kap. 4 a § OSL följer att om en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndig- hets räkning får en uppgift som hos den senare myndigheten är sekre- tessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestäm- melsen tillämplig även hos den mottagande myndigheten. Det skydd som kan aktualiseras när sekretessen överförs med stöd av bestäm- melsen är en tystnadsplikt, som ska gälla både i samband med digitala tjänster som en myndighet tillhandahåller åt en annan myndighet och vid en myndighets utkontraktering av it-drift till en annan myn- dighet. Bestämmelsen är även tillämplig på uppgifter som den mot- tagande myndigheten får av enskilda och andra myndigheter än beställarmyndigheten för den senare myndighetens räkning.54

Av 40 kap. 5 § OSL framgår vidare att sekretess gäller i verksam- het för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekono- miska förhållanden. Bestämmelsen är inte begränsad till att endast

52Eget utrymme definieras som ett skyddat förvar som tillhandahålls enligt 2 kap. 10 § första stycket TF endast som led i teknisk bearbetning eller teknisk lagring för annans räkning (eSam, Juridisk vägledning för verksamhetsutveckling inom e-förvaltning 3.0, s. 10). Se också prop. 2016/17:198 s. 6 f. och s. 17.

53Prop. 2016/17:198 s. 28.

54A.a.

179

gälla när en myndighet tekniskt bearbetar eller tekniskt lagrar åt en annan myndighet (jfr resonemang ovan om för annans räkning).55

Att uppgifter omfattas av sekretess utgör sammanfattningsvis inte något hinder mot användning av valideringstjänsten. För det fall en aktör av någon anledning ändå inte vill överföra uppgifter som om- fattas av sekretess kan, i stället för den centrala tjänsten, en lokalt installerad version av valideringstjänsten användas.

8.5Bevarande

8.5.1Den offentliga arkivsektorn

Den offentliga arkivsektorn utgörs av alla myndigheter och organ som hanterar eller förvarar allmänna handlingar samt av riksdagen, kom- munfullmäktige och regionfullmäktige.56 Den gemensamma nämna- ren för den offentliga arkivsektorn är allmänna handlingar. Samtliga arkiv som utgörs av allmänna handlingar omfattas av arkivlagens (1990:782) bestämmelser.

Samtliga myndigheter, dvs. i stat, kommun och region, är arkiv- bildare. Myndigheterna har en pågående arkivbildning och arkivtill- växt. Till den offentliga arkivsektorns arkivbildare hör även vissa andra organ och sådana juridiska personer där kommuner eller regioner utövar ett rättsligt bestämmande.

Den offentliga arkivsektorn står under översyn och tillsyn av arkivmyndigheter. Det finns en statlig arkivmyndighet, Riksarkivet, och en arkivmyndighet i varje kommun och region. I kommunerna och regionerna hanteras det praktiska arbetet i regel av kommunala myndigheter på uppdrag av arkivmyndigheten. Ofta benämns de för- valtningarna för kommunarkiv (stadsarkiv) eller regionarkiv.

Utöver arkivmyndigheterna finns även Samrådsgruppen för kom- munala arkivfrågor (SKA). SKA, vars huvudmän är Riksarkivet och SKR, är ett samverkansorgan för stat, kommuner och landsting inom arkivområdet. SKA utarbetar bl.a. råd om bevarande och gallring inom en rad kommunala områden.57

55Säker och kostnadseffektiv it-drift (SOU 2021:1), s. 268 f.

56Se Härifrån till evigheten. En långsiktig arkivpolitik för förvaltning och kulturarv (SOU 2019:58), s. 148 ff. för en mer utförlig redogörelse för den offentliga arkivsektorn.

57www.samradsgruppen.se/index.php/om-samradsgruppen (hämtad 2021-01-14).

180

8.5.2Arkivlagens ändamål

Av 3 § första stycket arkivlagen (1990:782) följer att en myndighets arkiv bildas av de allmänna handlingarna från myndighetens verk- samhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihets- förordningen och som myndigheten beslutar ska tas om hand för arkivering. Av tredje stycket samma paragraf framgår att myndig- heternas arkiv ska bevaras, hållas ordnade och vårdas så att de till- godoser

1.rätten att ta del av allmänna handlingar,

2.behovet av information för rättskipningen och förvaltningen, och

3.forskningens behov.

Av punkterna ovan framgår de grundläggande syften som arkivbild- ningen avser uppfylla. I lagens förarbeten motiveras det i första punk- ten angivna syftet med att rätten av att ta del av allmänna handlingar reducerats högst väsentligt om sådana handlingar inte bevarades. Motivet till den andra punkten är att det är viktigt för både rätts- tillämpningen och förvaltningen att det går att ta del av äldre avgö- randen så att praxis blir likformig. När det gäller forskningens behov som lyfts fram i tredje punkten avses såväl den professionella forsk- ningen som amatörforskningen. Av lagens förarbeten framgår även att forskningen och kulturen är så intimt sammanknippande att kul- turens behov får anses ingå i forskningens behov.58

Lagstiftaren understryker i förarbetena att det för att uppnå de ovan angivna syftena inte är tillräckligt att arkivmaterialet bara be- varas. Det ska även – som framgår av början av tredje stycket – vårdas och hållas ordnade med dessa syften för ögonen. Som huvudregel ska arkivmaterial bevaras för all framtid.59 Handlingen ska även bevaras i ursprungligt skick. Med detta avses att handlingar bevaras så som de var när de kom in till eller upprättades hos myndigheten.60

58Prop. 1989/90:72 s. 70.

59A.a.

60Riksarkivet, Elektroniskt underskrivna handlingar (Rapport 2006:1), s. 33.

181

Begreppet gallring

Huvudregeln är att allmänna handlingar ska bevaras. Det som inte bevaras gallras. Gallring får endast göras med stöd av författning eller beslut grundad i lag.

En handling kan gallras helt eller i vissa delar. Vid gallring ska dock enligt 10 § andra stycket arkivlagen alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket samma lag. Det betyder att vad som ska bevaras kan antingen avse hand- lingen i sig eller handlingarna tillsammans.

Det finns ingen definition av gallring i arkivlagen. Riksarkivet har dock i ett antal föreskrifter definierat gallring (RA-FS 1991:1, RA-FS 1991:6, 2006:1, RA-FS 2009:1).61

I Riksarkivets föreskrifter om elektroniska handlingar definieras gallring som att förstöra allmänna handlingar eller uppgifter i all- männa handlingar, eller vidta andra åtgärder med handlingarna som medför

•förlust av betydelsebärande data,

•förlust av möjliga sammanställningar,

•förlust av sökmöjligheter, eller

•förlust av möjligheter att bedöma handlingars autenticitet.62

Definitionen av att gallra tar hänsyn till olika åtgärder som kan på- verka de ursprungliga handlingarna. Det är således en vidare tolkning av gallring som anpassats till hanteringen av andra slags handlingar än pappershandlingar.

För att gallring ska vara tillåten krävs det som ovan framgår att det finns stöd för detta i en författning.63 Riksarkivet har genom arkiv-

61Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter, ändrade och omtryckta genom: RA-FS 1997:4, ändrade genom: RA-FS 2008:4, RA-FS 2012:1, RA-FS 2018:2, RA-FS 2019:2, Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse, ändrade och omtryckta genom: RA-FS 1997:6, ändrade genom: RA- FS 2012:2., Riksarkivets föreskrifter och allmänna råd om handlingar på papper, ändrade ge- nom: RA-FS 2010:2, RA-FS 2012:5, RA-FS 2018:4 och Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling), ändrad genom: RA-FS 2018:7.

622 kap. 1 § RA-FS 2009:1.

63Många bestämmelser om gallring återfinns exempelvis i s.k. registerförfattningar.

182

förordningen (1991:446) fått bemyndigande att föreskriva och be- sluta om gallring av allmänna handlingar hos statliga myndigheter. Riksarkivets föreskrifter och beslut om gallring finns publicerade dels i en generell föreskriftsserie (RA-FS) som gäller samtliga statliga myndigheter, dels i en myndighetsspecifik föreskriftsserie (RA-MS). För det fall det saknas författningsstöd för gallring kan myndigheter göra en framställan till Riksarkivet om att de önskar en myndighets- specifik föreskrift.64

Vad avser kommuner och regioner brukar de hänvisa till definition av gallring från Riksarkivet i oförändrat skick eller med vissa juster- ingar. Kommuner och regioner kan således ha egna definitioner av vad som utgör gallring.65

Begreppen bevarande och ursprungligt skick

Som tidigare nämnts är huvudregeln att handlingar ska bevaras i ur- sprungligt skick. Således är en handling som inte gallras i ursprung- ligt skick.

Likt gallring definieras inte bevarande i arkivlagen.66 Det framgår dock indirekt av 5 och 6 §§ arkivlagen att bevarandet är något mer än själva överförandet av handlingarna till arkivlokalen eller e-arkivet. Att bevara innebär att se till att handlingar och uppgifter har tekniska förutsättningar för att kunna bevaras genom t.ex. format, material, metoder och förvaringsmiljö så att de ska kunna läsas, förstås och användas i framtiden.

Begreppet bevara förekommer även i eIDAS-förordningen. I arti- kel 34 beskrivs vem som får tillhandhålla en kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter samt att en så- dan tjänst ska använda förfaranden och tekniker som gör det möjligt att förlänga tillförlitligheten för underskrifter utöver perioden för teknisk giltighet. Genom artikel 40 gäller artikel 34 på motsvarande sätt även för stämplar. Av artikel 34 och skäl 61 i förordningens ingress går det att utläsa att begreppet bevarande inom ramen för

64Se mer om detta förfarande i Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS) Version 1.2, 17 september 2019.

65SKA, Vem bestämmer om arkiv i kommunen? – Råd om styrning av den kommunala arkiv- verksamheten, oktober 2015, s. 23.

66Notera emellertid att begreppet bevarande förekommer i andra svenska författningar och där kan ha en annan innebörd än i arkivlagen, se t.ex. SKA, Bevara eller gallra, Gallringsråd nr 9: Råd för överförmyndare, 2020, s. 11.

183