Till innehållet

Bilaga A: Distansutgivning av e-legitimation med kvalitetsmärket Svensk e-legitimation

Bilaga A till "Vägledning till tillitsramverket för utfärdare".

1. Inledning

För att en legitimationshandling ska vara användbar måste det finnas ett brett förtroende för handlingen bland de som ska förlita sig på den. Förtroendet grundas bland annat i att både utfärdandeprocessen, tillhandahållandet och legitimationshandlingen som sådan är utformad på ett tillräckligt säkert sätt, och att de överenskomna regler som omfattar dessa delar följs av de som ger ut sådana legitimationshandlingar.

Reglerna för utgivning av traditionella legitimationshandlingar av privata aktörer har sina rötter i standarden för de s.k. SIS-märkta ID-korten. Det SIS-märkta ID-kortet är inte i någon del författningsreglerat, utan bestämmelserna utformas i samråd med en certifieringskommitté där branschföreträdare ingår. Dessa innefattar DNV, Statens kriminaltekniska laboratorium, Svenskt Näringsliv, Posten AB, Svenska Bankföreningen, Finansinspektionen, SIS och Rikspolisstyrelsen.

Genom dessa branschgemensamma regler åtnjuter det SIS-märkta ID-kortet ett brett förtroende inom hela samhället. Ambitionsnivån för kvalitetsmärket Svensk e-legitimation är densamma. E-legitimationshandlingar av tillitsnivå 3 avses uppfylla motsvarande grad av skydd som den traditionella legitimationshandlingen, samtidigt som sådana elektroniska legitimationshandlingar ska kunna tillhandahållas och användas på ett så effektivt sätt som möjligt.

2. Tillitsramverkets bestämmelser

Tillitsramverkets bestämmelser för utgivning av e-legitimations­handlingar på tillitsnivå 3 tar sin utgångspunkt i de principer som gäller för utgivning av traditionella legitimationshandlingar. Bestämmelserna i denna del kräver fysisk representation där utfärdaren identifierar sökanden och tillhandhåller legitimationen vid personligt besök.

Utmärkande för den traditionella ID-handlingen är att en sådan innefattar ett tydligt välliknande foto av innehavaren, och att legitimering med sådan ID-handling sker vid ett personligt möte då det krävs att den som presenterar legitimationshandlingen också liknar detta foto. Förutsättningarna vid användning av en elektronisk ID-handling skiljer sig i denna del från den traditionella.

Någon som obehörigen kommer över en e-legitimation kan använda denna utan sådana restriktioner, och utan fysisk närvaro. Vid missbruk av en e-legitimation kan det vara mycket svårt att spåra förövaren. Riskerna förknippade med obehörigt användande av en elektronisk ID-handling kan därvid anses fordra särskilda säkerhetsåtgärder i tillhandahållandet av sådan till sökanden, jämfört med den traditionella ID-handlingen. Därför måste det ställas mycket stringenta krav i denna del för att e-legitimationen ska uppnå en motsvarande grad av skydd som en fysisk legitimation. Kraven på ursprungsidentifiering av sökanden vid utfärdande av e-legitimation bör dock kunna vara jämbördiga med de som ställs vid utfärdande av traditionella ID-handlingar.

3. Säker legitimationskontroll

Utgångspunkten är att en e-legitimation med kvalitetsmärket Svensk e-legitimation av tillitsnivå 3 ska tillhandahållas vid personligt besök, på samma sätt och under samma förutsättningar som en traditionell legitimation. Detta innefattar att legitimationskontroll och tillhandahållande av e-legitimationshandling genomförs av personal i betrodd ställning inom organisationen, vilket som regel fordrar att utfärdaren har egen fysisk representation på de platser man avser utfärda e-legitimationer.

Utfärdaren ska alltså, genom egna medarbetare som visat sig pålitliga och har den utbildning och utrustning som krävs för att fullgöra uppgifterna på ett tillfredsställande och säkert sätt, identifiera sökanden och tillhandahålla e-legitimationshandlingen.

En bedömning av om en person visat sig pålitlig bör göras på grundval av den bakgrundskontroll som utfärdaren förväntas genomföra i enlighet med K3.2 i tillitsramverket, men också baseras på den generella utbildningsnivå och den ställning inom verksamheten som medarbetaren har. Det är knappast lämpligt att nyanställda eller tillfällig personal på egen hand fullgör de uppgifter som är förknippade med utgivning av e-legitimationer, även om de skulle ha fått vad som kan anses vara tillräcklig utbildning i fullgörandet av de arbetsmoment som krävs vid utfärdande av legitimationshandlingar. Det är inte heller lämpligt att personal som i övrigt saknar kvalificerande meriter, och därför annars endast utför enklare sysslor inom verksamheten, hanterar utgivning av e-legitimat­ioner.

En utfärdare som identifierar sökande och tillhandahåller e-legitimat­ioner i egen regi, förväntas därför göra detta med hjälp av egen personal med kvalificerad utbildning, och som i relation till det ansvar som vilar på denne erhåller skälig ersättning.

I denna del ska särskilt understrykas att den hantering av rekommenderat brev för privatpersoner som vanligen tillhandahålls av andra företag än Posten, t.ex. mataffärer, knappast är lämpliga för utfärdande av legitimationshandlingar. Detta inte minst mot bakgrund av de faktiska incidenter som inträffat i hanteringen av rekommenderade brev vid sådana utlämningsställen.

En sådan hantering med rekommenderat brev kan dock vara en del i ett distansutgivningsförfarande, som tillsammans med andra kontroller kan anses uppnå en motsvarande grad av skydd som tillhandahållande vid personligt besök.

Denna bilaga syftar till att belysa vad som bör gälla vid ett distansutgivningsförfarande, för att kraven på säker identifiering och säkert tillhandahållande ska kunna anses vara bibehållet.

4. Utfärdande via ombud

Det är naturligtvis tänkbart att säker identifiering och tillhandahållande av e-legitimation kan utföras av ett ombud för utfärdaren. Samma krav enligt K3.2 ställs då på ombudets personal som ska tillhandahålla denna funktion, som för den egna personalen. Ansvaret ska också regleras i avtal mellan ombudet och utfärdaren, och eventuella underleverantörsförhållanden ska tydliggöras i enlighet med K2.6. Utfärdare ansvarar dock för ombuden som för den egna verksamheten.

Utfärdande under sådana premisser bör alltså inte anses utgöra distansutgivning.

5. Distansutgivning

Vid införandet av e-legitimation som elektroniskt legitimeringssätt angavs att utfärdaren ska identifiera sökanden vid personligt besök, på likvärdigt sätt som vid en ansökan om en SIS-märkt legitimationshandling. Samtidigt infördes emellertid en regel om att en sökande som, på angivet sätt, redan har identifierats vid ett personligt besök för att få använda bank på Internet eller någon liknande tjänst för ekonomiskt eller rättsligt betydelsefulla mellanhavanden, istället får identifieras genom denna tjänst.

Dessa bestämmelser för distansutgivning syftar till att underlätta utgivning av e-legitimation på så kallad mjuk bärare, och att detta skulle kunna ske elektroniskt och på distans, företrädesvis via sökandens Internetbank. Det möjliggör kostnadsbesparingar, både genom att sökanden direkt i e-tjänsten kan tillhandahållas det användarstöd som krävs vid installationen och i nedladdningen av e-legitimation och programvara, men också för att effektivisera utgivningen genom ett självserviceförfarande från sökandens sida.

En sådan förenklad rutin skulle emellertid inte få användas om det kan antas att den avsedda e-tjänsten inte förmår identifiera sökanden på ett tillräckligt säkert sätt. Tillåtligheten kräver alltså också att sökanden ska kunna identifieras på distans på ett säkert sätt, åtminstone med en säkerhetsnivå likvärdig med den e-legitimation som ges ut.

Övriga säkerhetsaspekter anses omhändertagna genom att leverantören erbjuder utgivning som del i en annan tjänst, vars huvudsakliga syfte innebär att leverantören står en betydande ekonomisk eller rättslig risk i samband med denna. Resonemanget grundas alltså i att leverantören förväntas ha vidtagit de säkerhetsåtgärder som krävs för att hantera den egna risken förknippad med tjänsten, och att dessa bör kunna anses tillräckliga även för utgivning av e-legitimationer.

Det är även vanligt att banker som helt saknar fysisk representation ger ut e-legitimationer. Dessa kan då anses ha uppfyllt kraven på rättsligt eller ekonomiskt betydelsefulla mellanhavanden genom att ha uppnått kundkännedom då kunden kontinuerligt använder en eller flera tjänster som tillhandahålls av banken, snarare än att det skett ett fysiskt möte då kunden legitimerat sig på likvärdigt sätt som vid ansökan om SIS-märkt ID-handling. Ofta är ett eller flera rekommenderade brev ett led i upprättandet av den ursprungliga kundrelationen, men där utgivning i så fall inte ska ske förrän banken och kunden har en sådan rättsligt eller ekonomiskt betydelsefull relation som avses i avtalstexten. Det avses fordra att kunden brukar bankens tjänster under viss tid, vanligen i storleksordningen 6 månader.

Där även andra aktörer utanför finanssektorn utfärdar och tillhandahåller e-legitimationstjänster gäller samma principer. Bestämmelserna kan emellertid komma att kräva en vidare tolkning än vad som ursprungligen avsågs, dock utan att målsättningen bör ändras; att utgivning av e-legitimation ska ske med samma nivå av säkerhet och tillit som en traditionell legitimationshandling.

6. Utfärdandeprocessen

Utfärdandeprocessen i de delar som rör distansförhållandet kan brytas ner i två huvudkomponenter:

  • fastställande av sökandens identitet,
  • tillhandahållande av e-legitimationshandling.

Den samlade skyddsgraden kan sägas vara produkten av säkerheten i dessa två steg. Fastställande av sökandens identitet kan samtidigt betraktas utifrån både säkerheten i den ursprungliga identifieringen och den kundkännedom om sökanden som utfärdaren uppnått över tid, där dessa två delar kan kompensera för varandra.

Exempel: Utfärdande via Internetbank

I det typfall för vilket bestämmelserna för distansutfärdande en gång utformades, dvs. bankkunder med tillgång till Internetbank, förutsätts kundens identitet ha fastställts då kundrelationen upprättas genom legitimering vid personligt besök med fullgod legitimationshandling. I efterföljande tid har banken sedan uppnått det som kallas kundkännedom, t.ex. genom att kundens lön regelbundet sätts in på ett konto i banken, och kanske att ett bankkort knutits till kontot med vilket kunden betalar sina utgifter. Därigenom upprätthålls en pågående relation mellan banken och kunden. Detta är också de grunder som bankerna själva använder för att utfärda de s.k. SIS-märkta ID-korten.

I tillägg till detta har banken dessutom tillhandahållit kunden någon form av elektronisk identifieringsmekanism, t.ex. ett aktivt kort eller dosa för engångslösenord, med vilken kunden kan identifieras på ett säkert sätt i Internetbanken. Tillhandahållandet sker då genom användning av denna säkra identifieringsmekanism.

I detta fall har alltså ursprungsidentifiering skett genom legitimationskontroll av hos utfärdaren betrodd personal, och som tilldelat sökanden en säker elektronisk ID-handling som utfärdaren kan använda för att på distans och på ett säkert sätt identifiera sökanden. I efterföljande tid har banken uppnått kundkännedom, varvid en e-legitimation kan tillhandahållas på nämnda sätt.

Förfarandet bör anses förenligt med tillitsramverkets syfte att upprätthålla tillräcklig säkerhet i processen för distansutgivning, och från säkerhetssynpunkt kunna betraktas som likvärdig med ansökan och utgivning av en traditionell legitimationshandling.

Exempel: Utfärdande via arbetsgivare

En tillämpning av bestämmelserna bör även kunna göras vid det fall identifiering och tillhandahållande sker genom en arbetsgivares försorg. En sådan arbetsgivare skulle nödvändigtvis inte behöva agera formellt ombud enligt avsnitt 4, utan kan istället genom sin ställning bidra till att stärka säkerheten i utgivningsprocessen till den nivå som krävs.

Då arbetsgivarens organisation används som en del i utgivningsprocessen, förutsätts initiativet till utgivningen tas av arbetsgivaren som en del i att tillhandahålla medarbetaren en e-legitimation denne ska använda i tjänsten. Här anses rekvisitet rättsligt eller ekonomiskt betydelsefulla mellanhavanden vara uppfyllt genom arbetsgivarens relation med sökanden. Den person vid arbetsgivaren som beställer e-legitimationen förutsätts vara behörig att företräda beställaren i den aktuella rollen, det förutsätts vidare att utfärdaren kontrollerar dessa omständigheter så att den försändelse som riktas till arbetsgivaren kommer rätt person till handa.

Dock, då arbetsgivaren inte är att anse som en del av utfärdarens verksamhet och inte heller agerar ombud för denne, krävs kompenserande kontroller för att säkerställa att inte arbetsgivaren obehörigen i annans namn beställer och missbrukar en sådan e-legitimation. Det förutsätts vidare att utfärdaren och arbetsgivaren har upprättat avtal, där de allmänna villkoren förknippade med tjänsten regleras, vilken ersättning som ska utgå vid utfärdande och vilka personer inom arbetsgivarens organisation som är behöriga att beställa sådana e-legitimationer. Utfärdaren bör ha kontroller som säkerställer att beställningen är behörigen undertecknad av de som lägger varje beställning.

Tillhandahållandet av sådan e-legitimation kan ske genom att sökanden förses med två olika försändelser; en försändelse sänds som rekommenderat brev till sökandens folkbokföringsadress, och en försändelse sänds till den som behörigen undertecknat ansökan för beställarens räkning. Denne företrädare för beställaren ska personligen efter att ha säkerställt sökandens identitet, överlämna den obrutna försändelsen till sökanden.

Det rekommenderade brevet som skickas direkt till sökanden ska skickas med mottagningskvittens, och kvittensen av detta mottagande får anses utgöra tillräckliga kontroller för att en person ska kunna upptäcka om sådan e-legitimation beställts obehörigen i dennes namn.

I detta fall har alltså ursprungsidentifiering skett dels genom legitimationskontroll av behöriga företrädare för arbetsgivaren, dels av utlämningsstället för det rekommenderade brevet, varvid uppgifter i dessa två försändelser kombineras för att på ett säkert sätt på distans identifiera sökanden. Arbetsgivaren anses ha uppnått motsvarande kundkännedom genom ett anställningsförhållande eller motsvarande, där arbetsgivaren också betalar ersättning till sökanden. Utfärdande kan sedan ske via den upprättade distansrelationen med utfärdaren på angivet sätt.

Även detta förfarande bör kunna anses vara förenligt med tillitsramverkets syfte att upprätthålla tillräcklig säkerhet i processen för distansutgivning.

Exempel: Utfärdande grundad på elektronisk identifiering

Det är också tänkbart att en utfärdare kan utnyttja sina egna eller en annan parts mekanismer för säker elektronisk identifiering för distansutgivning. Det kan dock förekomma affärsmässiga begränsningar i ett sådant förfarande. Det är naturligt att affärsdrivande utgivare inte tillåter att annan utgivare slår mynt av den distansrelation de upprättat med respektive e-legitimationsinnehavare. Det kan dock förekomma andra elektroniska ID-handlingar som inte är behäftade med sådana restriktioner, eller att sådan utgivning grundad i en elektronisk identifiering möjliggörs genom ett särskilt avtal.

En förutsättning är naturligtvis att den ursprungliga elektroniska ID-handlingen givits ut på ett sätt som är förenligt med tillitsramverkets syften.

Exempel skulle kunna innefatta de så kallade tjänstekort som används av personal inom vissa myndigheter. Dessa har inte sällan förmåga till elektronisk identifiering på distans. Vid ett sådant förfarande anses kraven på ursprungsidentifiering och kundkännedom uppfyllt genom den ursprungliga utgivarens försorg. Tillhandahållandet av en e-legiti­mation ska emellertid alltid innefatta tillkommande kontroller som möjliggör för en person att upptäcka och agera på obehörig utgivning. Det kan t.ex. ske genom att personlig kod för att aktivera e-legitimat­ionen skickas ut med reguljärt brev till folkbokföringsadressen.

7. Otillräckliga grunder för distansutgivning

Som tidigare angetts bör rekommenderat brev ställt till privatperson som enda identifieringsgrund inte anses vara tillräckligt för distansutgivning av e-legitimation.

Inte heller bör uppgifter från fakturor eller liknande försändelser användas som grund för att att identifiera sökanden. Sådana förfaranden är visserligen vanliga i många andra länder, företrädesvis inom den s.k. anglosfären. I dessa länder finns därför en inarbetad kultur att säkert förvara och förstöra sådana handlingar. I Sverige med den starka offentlighetsprincip som råder, finns ingen sådan kultur. Fakturor, kontoutdrag och liknande handlingar slängs ofta med hushållssopor eller i pappersåtervinning, och det är ofta också enkelt att få ut fakturakopior från olika leverantörer. Ett sådant förfarande skulle därför medföra betydande risker för identitetsstölder, varför sådana uppgifter inte ska användas som grund för identifiering och distansutgivning av e-legitimation.

Slutligen bör inte heller enstaka kreditkortstransaktioner av ringa värde kunna anses utgöra tillräcklig grund för att identifiera sökanden vid distansutgivning. Kreditkort ges ofta ut via reguljär postgång, där kreditkortsföretagen har interna kontroller för att upptäcka transaktioner som kan tyda på att kreditkortet hamnat i felaktiga händer. Det är också vanligt att kreditkortsuppgifter röjs genom dataintrång. En enstaka sådan transaktion kan därför inte anses vara tillräcklig grund för identifiering av sökanden, och måste således kompletteras på mer än ett sätt. I det tidigare angivna exemplet med mobiltelefonoperatör som agerar utgivare, kombineras verifiering av kreditkortets ägare med en ursprungsidentifiering av butikspersonal och den tröghet som etablerande av kundkännedom innebär.