För många av oss är det idag en självklarhet att kunna logga in och legitimera sig med e-legitimation såsom Bank-Id och Freja eID. Behovet av att logga in med e-legitimationer över landsgränserna har ökat i takt med att det blir vanligare att bo, arbeta, studera och driva företag i andra EU-länder.Gränsöverskridande situationer av elektronisk identifiering regleras av eIDAS-förordningen, vilken vi ska behandla i detta blogginlägg.
Vad är eIDAS?
eIDAS är en förkortning av Electronic Identification, Authentication and Trust Services och benämningen på den förordning inom Europeiska unionen (EU) som syftar till att underlätta och harmonisera elektroniska identifieringar, autentiseringar och betrodda tjänster mellan medlemsländerna, förordning (EU) 910/2014.
Förordningen började tillämpas 1 juli 2016, men det var dock först den 29 september 2018 som det blev obligatoriskt för offentliga e-tjänster att acceptera utländska e-legitimationer. 1
För offentliga aktörer som erbjuder e-tjänster blev det från 1 juni 2021 lag på att erbjuda e-tjänster även för europeiska medborgare, genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. De nya reglerna förtydligar att offentliga organ ska ansluta sig till DIGG:s eIDAS-nod för åtkomst till identifiering med utländska e-legitimationer. Dessutom ska alla som är anslutna till eIDAS-noden rapportera incidenter, t.ex driftstörningar eller misstänkta fel.
Lagändringen den 1 juni 2021 innebär en skyldighet för offentliga organ att ansluta sina digitala tjänster till DIGG:s eIDAS-nod för uppkoppling mot utländska e-legitimationer (”Foreign eID”). De e-legitimationer som ingår är de som anmälts av andra eIDAS-anslutna länder. Det finns dock några undantag för:
- Säkerhetspolisen och myndigheter under Försvarsdepartementet
- Tjänster där e-legitimation (nivå ”väsentlig” eller högre) inte krävs, eller
- De offentliga organ som inte har några digitala tjänster.
Hur förhåller sig GDPR till eIDAS?
Genom eIDAS skapas en ram för tillförlitliga elektroniska identifieringar och autentiseringar, vilket kan underlätta efterlevnaden av GDPR för de organisationer som hanterar personuppgifter. Genom att tillämpa eIDAS-betrodda tjänster, såsom elektroniska signaturer, kan organisationer säkerställa att behandlingen av personuppgifter sker på ett säkert och rättssäkert sätt.
Enligt eIDAS kan en elektronisk signatur ha samma rättsliga verkan som en handskriven signatur. Detta innebär att elektroniska dokument som är signerade med en eIDAS-konform elektronisk signatur kan erkännas som giltiga inom EU och därmed underlätta överföringen av personuppgifter och dokumentation över gränserna Samtidigt måste organisationer som använder eIDAS-tjänster för att hantera personuppgifter också följa GDPR:s principer och krav. Det inkluderar att inhämta samtycke från de registrerade personerna för att använda deras personuppgifter, säkerställa att personuppgifterna behandlas på ett lagligt och ändamålsenligt sätt, och vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förlust eller skada.
Sammanfattningsvis kan man säga att eIDAS och GDPR kompletterar varandra genom att eIDAS bidrar till att säkerställa tillförlitliga elektroniska identifieringar och autentiseringar, vilket underlättar överföringen av personuppgifter och dokumentation inom EU. Samtidigt måste organisationer som använder eIDAS-tjänster för att hantera personuppgifter följa GDPR:s principer och krav för att skydda personuppgifterna och uppfylla de rättigheter och skyldigheter som fastställs i GDPR
Hur går det till?
E-legitimering mellan länderna hanteras med hjälp av landsnoder (”eIDAS-nod”), vilket innebär att offentliga organ måste ansluta sina digitala tjänster till eIDAS-noder mot utländska e-legitimationer. Dessa utgör centrala kopplingspunkter för elektronisk identifiering över landsgränserna. I Sverige har Myndigheter för digital förvaltning (”DIGG”) i uppdrag att tillhandahålla Sveriges landsnod (som heter Sweden Connect) och ge vägledning till offentliga verksamheter inom elektronisk identifiering.
För svenska aktörer används metoden SAML 2.0 enligt Diggs tekniska ramverk. Mellan landsnoderna används metoden SAML 2.0 enligt eIDAS specifikation.
E-legitimering går till så att e-tjänsten (den förlitande parten) skickar begäran om identitetsintyg till det egna landets eIDAS-nod (punkt 1 till 2 på bilden). Denna förmedlar vidare till det av användaren valda e-legitimationslandets nod (i detta exempel Danmark: 3), som i sin tur förmedlar vidare till vald e-legitimationsutfärdare för kontroll av e-legitimationen (den betrodda tjänsten) (4). Identitetsintyget går motsvarande väg tillbaka igen (4-3-2-1). Upplägget är tänkt att passa med den fristående underskriftstjänst som kommunen, regionen eller myndigheten med behov av e-underskrifter upphandlar. Den förlitande parten behöver teckna ett avtal med Myndigheten för digital förvaltning (DIGG) för användning av den svenska landsnoden Sweden Connect. Den som vill tillhandahålla kvalificerade betrodda tjänster (t.ex. Bank-ID) behöver anmäla detta till Post- och telestyrelsen.
Gäller samma rättigheter vid inlogg med utländsk e-legitimation?
Det är viktigt att skilja eIDAS krav på att erkänna en utländsk e-legitimation på samma villkor som en svensk e-legitimation från själva användandet av tjänsten. Tänk på att det kan finnas andra lagkrav som reglerar användningen när användaren väl loggat på. Det finns (genom eIDAS) ingen automatisk skyldighet att låta en individ få ta del av känslig information eller att få utföra ärenden i e-tjänsten.
En del av våra kunder är företag som tillhandahåller olika former av e-tjänster åt myndigheter, landsting/regioner samt kommuner. Dessa företag får ofta lösa frågan kring hur detta ska tillhandahållas – och det innefattar både tekniska och juridiska knäckfrågor. Exempel på frågor som vi ofta får är:
- Hur samspelar eIDAS med GDPR och vem ansvarar för behandlingen av personuppgifter?
- Hur ska e-signaturer redovisas på avtalsdokument?
- Vilken legitimitet har e-signaturer utanför EU, t.ex. i USA?
- Vad är en leverantör av betrodda tjänster (TSP)?
Har du frågor om hantering av personuppgifter inom din verksamhet eller förslag på ämne för kommande blogginlägg?
Kontakta oss gärna via info@gdprhero.se eller 046 – 273 17 17!
Fotnoter
- Det beror på att artikel 52.1 c i eIDAS-fördningen stadgar att artikel 6 (ömsesidigt erkännande) ska tillämpas från och med tre år efter tillämpningsdagen för de genomförandeakter som avses i artiklarna 8.3 och 12.8. Dessa genomförandeakter hade kommissionen till uppgift att anta och de ska fastställa bland annat tekniska minimispecifikationer, standarder och förfaranden genom vilka tillitsnivåerna låg, väsentlig och hög specificeras för medel för elektronisk identifiering. Dessa genomförandeakter är (EU) 2015/1502 och (EU) 2015/1501.