Till innehållet

Internationell e-legitimering

Vi rör oss ständigt över landsgränserna både privat och i våra jobb. Du som offentlig aktör behöver därför tillåta inloggning med utländska e-legitimationer i dina e-tjänster. Kravet finns i EU:s eIDAS-förordning. Här läser du om hur du ansluter din organisation till eIDAS.

För dig som är utvecklare

På Sweden Connect hittar du teknisk information om anslutning till eIDAS.

swedenconnect.se

Så fungerar det

För att ansluta till eIDAS behöver du:

  • teckna avtal med DIGG om anslutning till Sweden Connect, som är den svenska anslutningspunkten för eIDAS
  • göra e-tjänsterna redo för eIDAS
  • genomföra en teknisk anslutning till Sweden Connect.

Teckna avtal om Sweden Connect

Läs igenom de dokument som är kopplade till Avtal för anslutning till Sweden Connect. De finns under Dokument och länkar på denna sida.

Fyll i och skriv under avtalet.
Avtal med förlitande part beträffande Sweden Connect

Skicka avtalet i ett exemplar till:

DIGG
Box 14
851 02 Sundsvall

Ni avgör själva vilka kontaktpersoner ni vill anmäla till oss. Här kan du få hjälp med att avgöra vilken typ av roll som passar för de olika kontaktpersonerna i avtalet.

25.1 Kontaktperson för Avtalet och administrativa frågor

Det här ska vara en person som vi kan kontakta vid avtalsadministration och allmänna frågor, till exempel vid ändringar i tjänsten.

25.2 Kontaktperson som är behörig att anmäla uppgifter till Aktörsregistret

Det här ska vara en person som har rätt att skicka in produktionsmetadata för era e-tjänster, samt anmäla och ändra myndighetens kontaktpersoner och deras kontaktvägar till Sweden Connects aktörsregister. Vi kommer att kontakta denna person för att bekräfta att metadata eller ändring av uppgifter verkligen kommer från er. Det bör därför vara person som är inblandad i det praktiska arbetet med er metadata.

25.3 Kontaktperson som är behörig att hantera säkerhetsincidenter

Det här ska vara en person som vi kan kontakta om vi upptäcker ett säkerhetsrelaterat problem i er e-tjänst, eller om ni berörs av ett säkerhetsrelaterat problem i Sweden Connect.

25.4 Kontaktperson för supportfrågor

Det här ska vara en person som vi kan hänvisa till om en slutanvändare vänder sig till oss men där vi konstaterar att felet ligger i er e-tjänst.

  1. Inom 1-2 dagar efter att avtalet har kommit till oss får ni en bekräftelse via e-post. Bekräftelsen skickas till två av de e-postadresser som står i avtalet: Kontaktperson för avtalet och administrativa frågor (punkt 25.1) och kontaktperson som är behörig att anmäla uppgifter till Aktörsregistret (punkt 25.2).
  2. När ni har fått bekräftelsen kan ni slutföra den tekniska integrationen till Sweden Connect.
  3. Avtalet med oss är tecknat när vi har tagit emot och registrerat ert metadata i Sweden Connects produktionsmiljö. Ni får då en bekräftelse till samma e-postadresser som i punkt 1.

Bra att veta

Anslutning till Sweden Connects testmiljö kräver inget avtal. Det betyder att ni kan testa och utveckla parallellt med era förberedelser inför produktion.

Sweden Connects testmiljö (sandbox)

Gör e-tjänsten redo för eIDAS

Alla e-tjänster som kräver att användare legitimerar sig med en e-legitimation behöver anpassas för anslutning till eIDAS.

Vilken tillitsnivå som ska krävas av en legitimering i en e-tjänst beror på hur känslig informationen är och på konsekvenserna om den skulle komma i orätta händer. eIDAS tillitsnivåer och det svenska Tillitsramverket bygger på samma internationella standard.

Enligt eIDAS-förordningen är det lag för offentliga e-tjänster att erkänna anmälda, utländska e‑legitimationer på tillitsnivå väsentlig och hög. Det betyder att om din e-tjänst kräver svenska e-legitimationer på tillitsnivå 3 eller 4, måste e-tjänsten också acceptera utländska e-legitimationer som har tillitsnivå väsentlig eller hög.

Det är frivilligt att lita på anmälda e‑legitimationer med tillitsnivå låg.

Tillitsnivåer för e-legitimering

De flesta svenska e-tjänster använder svenskt personnummer som identitetsbegrepp. Vissa svenska e-tjänster har också lagstadgade krav på att användaren ska ha ett svenskt personnummer eller samordningsnummer. Personnummer ingår dock inte i den information som den utländska e-legitimationen överför till e-tjänsten när användaren legitimerar sig, oavsett om användaren har ett svenskt personnummer eller inte.

En person som loggar in med en utländsk e-legitimation har med sig ett eget identitetsbegrepp från e-legitimationslandet. En person med flera e-legitimationer kan också ha flera olika identitetsbegrepp.

Undersök därför:

  • om e-tjänsten har lagstadgade krav på att användaren ska ha svenskt personnummer eller samordningsnummer.
  • om det krävs ett svenskt personnummer eller samordningsnummer för att använda e-tjänsten, eller om e-tjänsten också skulle kunna hantera det utländska identitetsbegreppet som kommer med i e-legitimeringen.

Enligt eIDAS-förordningen måste en användare med en utländsk e-legitimation kunna legitimera sig i e-tjänsten på samma villkor som en användare med en svensk e-legitimation.

eIDAS-förordningen reglerar dock inte vilket innehåll en användare ska få tillgång till efter att ha legitimerat sig. Det är därför möjligt att efter legitimering neka användaren tillträde till e-tjänsten, om hen inte hör till målgruppen eller till exempel saknar personnummer. Om ni inte kan släppa in användaren i tjänsten bör ni skapa ett så kallat väntrum, där användaren efter att ha loggat in möts av ett meddelande som förklarar varför hen inte släpps in i e-tjänsten, och hur användaren kan få hjälp med sitt ärende på annat sätt.

  • Lägg till inloggningsalternativet "Foreign eID" på e-tjänstens inloggningssida.
  • Bedöm vilka språk e-tjänstens texter behöver finnas på för att användarna ska kunna använda den. eIDAS reglerar inte denna fråga.

Skriver era användare under elektroniskt? Då rekommenderar vi att ni skaffar en fristående underskriftstjänst, eftersom utländska e-legitimationer inte erbjuder möjligheten att skriva under. Vi rekommenderar att den fristående underskriftstjänsten är granskad och godkänd av oss på DIGG.

Läs mer om e-underskrift för offentlig aktör

Genomför teknisk anslutning

Den tekniska anpassningen till Sweden Connect kräver detaljerad teknisk kompetens. Om ni inte har den själva - ta kontakt med era leverantörer av e-tjänster, appar, eller portaler för den tekniska anpassningen. Hänvisa till DIGG:s riktlinjer.

Läs mer på Sweden Connect

Länder som är anslutna till eIDAS

Anslutna länder med tillåtna e-legitimationer i svenska offentliga e-tjänster är just nu:

  • Belgien
  • Estland
  • Italien
  • Kroatien
  • Luxemburg
  • Portugal
  • Spanien
  • Storbritannien
  • Tyskland

Frågor och svar

eIDAS är en EU-förordning som gäller som lag. eIDAS innehåller regler för gränsöverskridande elektronisk identifiering (e-legitimering) och betrodda tjänster.

Enligt eIDAS behöver varje medlemsland tillhandahålla en så kallad landsnod, en anslutningspunkt där e-legitimationstrafiken kontrolleras och ”översätts” till respektive lands identitetsmetod. I Sverige heter landsnoden Sweden Connect.

eIDAS står för Electronic Identification, Authentication and Trust Services.

 

Aktörsregistret är en del av Sweden Connect och består av två delar.

Den första delen innehåller uppgifter om den organisation som har tecknat avtalet, till exempel vem som har rätt att företräda organisationen i olika frågor.

Den andra delen, metadataregistret, innehåller både uppgifter om organisationernas e-tjänster och de e-legitimationstjänster och underskriftstjänster som e-tjänsterna kan kommunicera med. Metadataregistrets syfte är att minska underhållskostnaderna för informationen genom att varje offentlig aktör bara behöver anmäla sin information till det centrala metadataregistret och sedan kan tjänsterna automatiskt uppdatera sin kopia av informationen.

Ja. Kraven i eIDAS gäller alla offentliga aktörers e-tjänster som riktar sig till allmänheten och som påverkar tredje man. Men det är viktigt att komma ihåg att kraven bara innebär att användaren ska få logga in i e-tjänsten. Det är därför möjligt att efter legitimering neka användaren tillträde till e-tjänsten, om hen inte hör till målgruppen eller till exempel saknar personnummer. Om ni inte kan släppa in användaren i tjänsten bör ni skapa ett så kallat väntrum, där användaren efter att ha loggat in möts av ett meddelande som förklarar varför hen inte släpps in i e-tjänsten, och hur användaren kan få hjälp med sitt ärende på annat sätt.

Nej, det är bara ni som offentlig aktör som ska teckna avtalet även om ni har anlitat en underleverantör. Underleverantören ingår istället avtal med er.