Till innehållet

E-legitimering för dig som privat aktör

Du som privat aktör med e-tjänst kan ansluta till DIGG:s eIDAS-nod för att göra det möjligt för användare att logga in med utländska e-legitimationer. Här kan du läsa mer.

För dig som är utvecklare

På Sweden Connect hittar du teknisk information om anslutning till eIDAS-noden.

swedenconnect.se

Så fungerar det

Sedan den 1 juni 2021 kan du som privat aktör göra det möjligt för en användare med en utländsk e-legitimation att använda din organisations e-tjänst, genom att ansluta e-tjänsten till DIGG:s eIDAS-nod.

De utländska e-legitimationer som ingår är de som anmälts till eIDAS av andra EU-länder. De anmälda länderna beslutar dock själva om de erbjuder stöd för privata aktörers e-tjänster, det är därför inte säkert att alla länders e-legitimationer fungerar i en privat e-tjänst. 

Med privat aktör menas alla svenska organisationer, till exempel privata näringsidkare, som inte ingår i begreppet "offentligt organ" enligt eIDAS-förordningen. Det är frivilligt för privata aktörer att ansluta sig.

För att ansluta behöver du:

  • teckna avtal med DIGG om anslutning till Sweden Connect som är den identitetsfederation som ger tillgång till eIDAS-noden,
  • göra e-tjänsterna redo för utländska e-legitimationer,
  • genomföra en teknisk anslutning till Sweden Connect.

Avgifter

DIGG kommer att ta ut en avgift från de privata aktörer som ansluter. Avgiften är ännu inte beslutad, och vi har just nu inget besked om när detta kommer vara klart. Om anslutningen i stället görs i er kunds namn och kunden är ett offentligt organ, så är det avgiftsfritt.

Tänk på att det kan tillkomma avgifter från leverantören av den utländska e-legitimationen som används.

1. Teckna avtal om Sweden Connect

1.2 Fyll i och skriv under avtalet

Fyll i och skriv under två exemplar av avtalet:

Avtal med förlitande part beträffande Sweden Connect

Tips för att fylla i kontaktpersoner

Ni avgör själva vilka kontaktpersoner ni vill anmäla i avtalet. Här får du tips på vilken typ av roll som passar för de olika kontaktpersonerna:

  • 25.1 Kontaktperson för Avtalet och administrativa frågor: Det här ska vara en person som vi kan kontakta vid avtalsadministration och allmänna frågor, till exempel vid ändringar i tjänsten.
  • 25.2 Kontaktperson som är behörig att anmäla uppgifter till Aktörsregistret: Det här ska vara en person som har rätt att skicka in produktionsmetadata för era e-tjänster, samt anmäla och ändra myndighetens kontaktpersoner och deras kontaktvägar till Sweden Connects aktörsregister. Vi kommer att kontakta denna person för att bekräfta att metadata eller ändring av uppgifter verkligen kommer från er. Det bör därför vara person som är inblandad i det praktiska arbetet med er metadata.
  • 25.3 Kontaktperson som är behörig att hantera säkerhetsincidenter: Det här ska vara en person som vi kan kontakta om vi upptäcker ett säkerhetsrelaterat problem i er e-tjänst, eller om ni berörs av ett säkerhetsrelaterat problem i Sweden Connect. Personen bör ha befogenhet att fatta säkerhetsrelaterade beslut för er organisation, exempelvis att besluta vilka åtgärder ni ska vidta vid en pågående incident.
  • 25.4 Kontaktperson för supportfrågor: Det här ska vara en person som vi kan hänvisa till om en slutanvändare vänder sig till oss men där vi konstaterar att felet ligger i er e-tjänst.
Visa mer

1.3 Skicka in avtalet

Skicka båda exemplaren av avtalet till:

DIGG
Box 14
851 02 Sundsvall

När vi har tagit emot avtalen skriver vi under dem och skickar tillbaka ett exemplar till er.

2. Gör e-tjänsten redo för utländska e-legitimationer

2.1 Bedöm krav på tillitsnivå

Du behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Vilken tillitsnivå som ska krävas av en legitimering i en e-tjänst beror på hur känslig informationen är och på konsekvenserna om den skulle komma i orätta händer. 

Läs mer:

Tillitsnivåer för e-legitimering

2.2 Bedöm hur personidentitetsbegrepp ska hanteras

Om e-tjänsten kräver ett svenskt personnummer eller samordningsnummer som identitetsbegrepp, kommer en användare med utländsk e-legitimation för närvarande inte att kunna använda e-tjänsten. E-tjänsten måste istället kunna hantera det utländska identitetsbegreppet som kommer med i e-legitimeringen.

Personnummer ingår inte i den information som den utländska e-legitimationen överför till e-tjänsten när användaren legitimerar sig, oavsett om användaren har ett svenskt personnummer eller inte. En person som loggar in med en utländsk e-legitimation har med sig ett eget identitetsbegrepp från e-legitimationslandet. En person med flera e-legitimationer kan också ha flera olika identitetsbegrepp. 

2.3 Planera för e-tjänstens olika delar

  • Lägg till inloggningsalternativet "Foreign eID" på e-tjänstens inloggningssida.
  • Bedöm vilka språk e-tjänstens texter behöver finnas på för att användarna ska kunna använda den.

2.4 Planera för e-underskrifter

Skriver era användare under elektroniskt? Då rekommenderar vi att ni skaffar en fristående underskriftstjänst, eftersom utländska e-legitimationer inte erbjuder möjligheten att skriva under.

Vårt stöd kring e-underskrift riktar sig till offentliga aktörer, men de krav som kan användas för att skaffa en fristående underskriftstjänst kan även användas av privata aktörer.

Mer om e-underskrift (för offentliga aktörer)

3. Genomför teknisk anslutning

3.1 Anslut till Sweden Connect

För att en användare ska kunna legitimera sig i e-tjänsten behöver du registrera metadata om e-tjänsten i Sweden Connects metadataregister. E-tjänsten och DIGG:s eIDAS-nod hämtar sedan metadata om varandra ur registret för att kunna kommunicera med varandra.

Du hittar all information du behöver för den tekniska anpassningen till Sweden Connect på webbplatsen swedenconnect.se.

Anpassningen kräver detaljerad teknisk kompetens och kunskap om SAML-metadata. Om ni inte har den själva rekommenderar vi att ni tar kontakt med era leverantörer av e-tjänster, appar, eller portaler för den tekniska anpassningen. 

Läs mer på Sweden Connect (swedenconnect.se)

Rapportera alltid incidenter

Enligt lag behöver alla som är anslutna till DIGG:s eIDAS-nod underrätta DIGG om incidenter som kan påverka nodens funktionalitet eller säkerhet, till exempel driftstörningar eller misstänkta fel. Rapporteringen måste ske så snart som möjligt.

Rapportera incident (swedenconnect.se)

Lag (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering (sfs.se)

Länder som är anslutna till eIDAS

Anslutna länder med tillåtna e-legitimationer i svenska offentliga e-tjänster är just nu:

  • Belgien
  • Estland
  • Italien
  • Kroatien
  • Lettland
  • Luxemburg
  • Portugal
  • Slovakien
  • Spanien
  • Tjeckien
  • Tyskland

Frågor och svar

eIDAS är en EU-förordning som gäller som lag. eIDAS innehåller regler för gränsöverskridande elektronisk identifiering (e-legitimering) och betrodda tjänster.

Enligt eIDAS behöver varje medlemsland tillhandahålla en så kallad landsnod, en anslutningspunkt där e-legitimationstrafiken kontrolleras och ”översätts” till respektive lands identitetsmetod. I Sverige heter landsnoden Sweden Connect.

eIDAS står för Electronic Identification, Authentication and Trust Services.

 

Det är möjligt att få tillgång till teknisk information om svenska e-legitimationer om de har en legitimeringstjänst i Sweden Connect. Du hittar information om vilka legitimeringstjänster som är anslutna på webbplatsen swedenconnect.se.

Legitimeringstjänster i Sweden Connect (swedenconnect.se)

Ni behöver teckna ett trafikavtal direkt med e-legitimationsutfärdaren och komma överens om deras tekniska information i Sweden Connect ska användas. Kontakta utfärdaren för mer information.

 

Det går att ansluta en underskriftstjänst till Sweden Connect, underskriftstjänsten kan då begära ”identifiering för underskrift” med utländska e-legitimationer.

I tekniskt ramverk för Sweden Connect kan du läsa mer om den typ av underskrift som Sweden Connect stödjer.

Tekniskt ramverk för Sweden Connect (swedenconnect.se)

Aktörsregistret är en del av Sweden Connect och består av två delar.

Den första delen innehåller uppgifter om den organisation som har tecknat avtalet, till exempel vem som har rätt att företräda organisationen i olika frågor.

Den andra delen, metadataregistret, innehåller både uppgifter om organisationernas e-tjänster och de e-legitimationstjänster och underskriftstjänster som e-tjänsterna kan kommunicera med. Metadataregistrets syfte är att minska underhållskostnaderna för informationen genom att varje offentlig aktör bara behöver anmäla sin information till det centrala metadataregistret och sedan kan tjänsterna automatiskt uppdatera sin kopia av informationen.