På senaste tiden har vi fått många frågor om elektroniska signaturer. Många av dessa frågor beror på EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (den s.k. eIDAS-förordningen).

I detta gästblogginlägg kommer Aron Klingberg, jurist på Sällberg & Co, förklara vad eIDAS är och hur det funkar.

Denna lagstiftning är inte ny – eIDAS blev tillämplig i Sverige den 1 juli 2016 och ersatte då den svenska lagen om kvalificerade elektroniska signaturer. eIDAS gäller alltså som lag direkt i Sverige. Förutom EU:s medlemsstater är har även Norge, Island och Liechtenstein åtagit sig att införliva eIDAS. Dessa länder kan dock inte tillämpa eIDAS direkt som lag, som EU:s medlemsstater gör, utan har införlivat eIDAS bestämmelser i nationella lagar.

Men vad är då eIDAS och varför har denna lag fått så mycket fokus hösten 2018?

Syftet med eIDAS är att stärka förtroendet för e-signaturer på den ”digitala inre marknaden” inom EU. Det ska finnas ett säkert elektroniskt samspel mellan företag, myndigheter och medborgare. Ett exempel på en e-signatur och e-legitimation är vid användning av Mobilt BankID t.ex. för att godkänna en betalning med Swish.

eIDAS är uppdelad i två delar: en del som reglerar e-legitimering och en del som reglerar betrodda tjänster. En betrodd tjänst (Trust Service Provider eller ”TSP”) är den som tillhandahåller en kvalificerad elektronisk identitetshandling (eID).

I Swish-exemplet ovan så reglerar alltså eIDAS både e-signeringen för att godkänna Swish-betalningen och vem som får tillhandahålla elektroniska identitetshandlingar som t.ex. Bank ID (d.v.s. vem som får tillhandahålla en betrodd tjänst). Den som tillhandahåller e-tjänsten är den s.k. förlitande parten.

Vad är nytt hösten 2018?

Från och med den 29 september 2018 ställs krav på att myndigheter, landsting/regioner samt kommuner ska kunna ta emot e-legitimationer från andra länder. Ambitionen med eIDAS är att varje medborgare och organisation ska kunna använda sin egen elektroniska identitetshandling oavsett i vilket land den är utfärdad. Denna elektroniska identitetshandling måste offentliga e-tjänster i andra länder kunna ta emot.

En dansk medborgare ska alltså kunna använda sin danska elektroniska identitetshandling för att använda svenska e-tjänster som tillhandahålls av offentliga aktörer. Detta är en del av EU:s lagstiftningsreform ”den digitala inre marknaden” som syftar till att underlätta den fria rörligheten för människor, varor, tjänster och kapital på den digitala marknaden. Den danska medborgaren som ska börja arbeta i Sverige ska därför inte behöva åka fysiskt till en svensk myndighet i syfte att identifiera sig bara för att den svenska myndigheten inte godkänner andra elektroniska identitetshandlingar än de svenska.

Hur går det till?

E-legitimering mellan länderna hanteras med hjälp av landsnoder (”eIDAS-nod”). Dessa utgör centrala kopplingspunkter för elektronisk identifiering över landsgränserna. I Sverige har Myndigheter för digital förvaltning (tidigare E-legitimationsnämnden) i uppdrag att tillhandahålla Sveriges landsnod (som heter Sweden Connect) och ge vägledning till offentliga verksamheter inom elektronisk identifiering.

För svenska aktörer används metoden SAML 2.0 enligt Myndigheter för digital förvaltning tekniska ramverk. Mellan landsnoderna används metoden SAML 2.0 enligt eIDAS specifikation.

E-legitimering går till så att e-tjänsten (den förlitande parten) skickar begäran om identitetsintyg till det egna landets eIDAS-nod (punkt 1 till 2 på bilden). Denna förmedlar vidare till det av användaren valda e-legitimationslandets nod (i detta exempel Danmark: 3), som i sin tur förmedlar vidare till vald e-legitimationsutfärdare för kontroll av e-legitimationen (den betrodda tjänsten) (4). Identitetsintyget går motsvarande väg tillbaka igen (4-3-2-1). Upplägget är tänkt att passa med den fristående underskriftstjänst som kommunen, landstinget eller myndigheten med behov av e-underskrifter upphandlar.

Den förlitande parten behöver teckna ett avtal med Myndigheten för digital förvaltning för användning av den svenska landsnoden Sweden Connect. Den som vill tillhandahålla kvalificerade betrodda tjänster (t.ex. Bank ID) behöver anmäla detta till Post- och telestyrelsen.

Gäller samma rättigheter vid inlogg med utländsk e-legitimation?

Det är viktigt att skilja eIDAS krav på att erkänna en utländsk e-legitimation på samma villkor som en svensk e-legitimation från själva användandet av tjänsten. Tänk på att det kan finnas andra lagkrav som reglerar användningen när användaren väl loggat in på e-tjänsten. Det finns (genom eIDAS) ingen automatisk skyldighet att låta en individ få ta del av känslig information eller att få utföra ärenden i e-tjänsten.

En stor del av Sällberg & Co:s klienter är företag som tillhandahåller olika former av e-tjänster åt myndigheter, landsting/regioner samt kommuner. Dessa företag får ofta lösa frågan kring hur detta ska tillhandahållas – och det innefattar både tekniska och juridiska knäckfrågor.

Exempel på frågor som vi ofta får är:

  • Hur samspelar eIDAS med GDPR och vem ansvarar för behandlingen av personuppgifter?
  • Hur ska e-signaturer redovisas på avtalsdokument?
  • Vilken legitimitet har e-signaturer utanför EU, t.ex. i USA?
  • Vad är en leverantör av betrodda tjänster (TSP)?

Har du några frågor om eIDAS så tveka inte att kontakta Sällberg & Co!

Aron Klingberg

aron.klingberg@sallbergco.se

 

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This