Auktorisationssystem för elektronisk identifiering – Administrativa föreskrifter

1. Bakgrund

Enligt förordningen (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post har Myndigheten för digital förvaltning (Digg) fått uppgiften att vara tillhandahållande myndighet av auktorisationssystem för tjänster för elektronisk identifiering enligt lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och digital post.

Av förordningen följer att Digg får meddela föreskrifter om de krav som ska vara uppfyllda för att en leverantörs ansökan om anslutning till ett auktorisationssystem ska godkännas.

Av lagen följer att den tillhandahållande myndigheten ska godkänna en ansökan om anslutning till ett auktorisationssystem för de leverantörer som uppfyller de krav som ställts för godkännande.

När tillhandahållande myndighet har godkänt en ansökan om anslutning ska myndigheten så snart som möjligt ingå anslutningsavtal med leverantören om utförande av tjänsten.

Genom undertecknande av avtalet tappar godkännandet sin verkan och leverantören övergår till att vara ansluten till auktorisationssystemet.

1.1. Tillhandahållande myndighet

Digg är tillhandahållande myndighet av auktorisationssystem för tjänster för elektronisk identifiering.

1.2. Tillhandahållande myndighets kontaktuppgifter

Tel: 0771-11 44 00, vardagar 09.00–12.00
E-post: e-legitimation@digg.se

1.3. Inrättande

Inrättande av auktorisationssystem för tjänster för elektronisk identifiering sker genom att tillhandahållande myndighet publicerar information om auktorisationssystemet enligt 6 § lagen om auktorisationssystem på en webbplats, och det är då möjligt för leverantörer att ansöka om anslutning till systemet.

Informationen på den här webbplatsen utgör informationen enligt 6 § lagen om auktorisationssystem.

Informationen uppdateras vid behov.

1.4. Rätten att tillhandahålla tjänster mot ersättning

Leverantörs rätt att tillhandahålla tjänster mot ersättning infaller tidigast från och med 1 januari 2026.

2. Auktorisationssystem för elektronisk identifiering

Anskaffningen av de tjänster som omfattas av Auktorisationssystem för elektronisk identifiering sker genom inrättande av auktorisationssystem enligt lagen om auktorisationssystem.

2.1. Auktorisationssystemets giltighetstid

Auktorisationssystem för elektronisk identifiering inrättades den 5 maj 2025 och är giltigt tillsvidare.

Tillhandahållande myndighet kan avsluta auktorisationssystemet när som helst. Myndigheten ska informera om ett kommande avslut senast tolv månader innan avslutet avser träda i kraft.

Kortare tid än vad som anges ovan kan förekomma om anledningen till att avsluta auktorisationssystemet beror på en lagändring eller annan orsak som ligger utanför Tillhandahållande myndighets kontroll som kräver tidigare avslut.

2.2. Krav och villkor för leverantörens anslutning

Leverantörens anslutning till auktorisationssystemet regleras av anslutningsavtal för Auktorisationssystem för elektronisk identifiering. Av anslutningsavtalet framgår vilka krav och villkor som gäller för leverantörens anslutning till auktorisationssystemet. Av anslutningsavtalet framgår också tillhandahållande myndighets åtaganden.

Anslutningsavtal för Auktorisationssystem för elektronisk identifiering

2.3. Avtalstid

Anslutningsavtalet träder i kraft när tillhandahållande myndighet har godkänt leverantörens ansökan om anslutning till auktorisationssystemet och anslutningsavtalet är undertecknat av behöriga företrädare för båda parter, dock tidigast den 1 januari 2026.

2.4. Definitioner

Inom Auktorisationssystem för elektronisk identifiering tillämpas samma definitioner som i lagen om auktorisationssystem.

Med ett auktorisationssystem avses ett system där:

1. den myndighet som tillhandahåller systemet godkänner att leverantörer av tjänster för elektronisk identifiering får ingå ett avtal inom systemet och ingår avtal med var och en av de godkända leverantörerna om utförande av sådana tjänster,
2. en enskild har rätt att välja den leverantör som ska utföra tjänsterna för den enskildes räkning, och
3. en offentlig aktör kan använda tjänsterna i sin verksamhet enligt avtal med den tillhandahållande myndigheten.

Med Auktorisationssystem för elektronisk identifiering avses det auktorisationssystem för tjänster för elektronisk identifiering som tillhandahållande myndighet inrättat.

Med Användare avses en fysisk person som innehar en E-legitimation utfärdad av en Leverantör och som vid användning av E-legitimationen identifieras genom en Identifierings- och intygsfunktion.

Med Avancerad elektronisk underskrift avses en underskrift som uppfyller kraven för en avancerad elektronisk underskrift enligt definitionen i art 26 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Med Beräkningsdata avses vad som definieras i Bilaga 2 – Teknisk specifikation för Beräkningsdata.

Med E-legitimation avses identitetshandling i elektronisk form som har urkundskvalitet och som innehåller uppgifter som entydigt kan kopplas till en viss Användare.

Med Elektronisk identifiering avses en automatiserad kontroll av vem som har legitimerat sig.

Med Funktion för elektronisk underskrift avses teknisk funktion i E-legitimationen för att framställa en Avancerad elektronisk underskrift.

Med Identifierings- och intygsfunktion avses en tjänst där Leverantör genomför automatiserade kontroller, ställer ut Identitetsintyg samt sänder Identitetsintyget till den Offentliga aktör som beställt det.

Med Identitetsintyg avses elektroniskt signerat intyg i elektronisk form med uppgift om Användarens identitet och attribut.

Med Id-växling avses ett förfarande som innebär att en E-legitimation används för att höja tilliten till en annan redan befintlig E-legitimation eller för att skapa en ny E-legitimation.

Med Legitimering avses en Användare brukar sin E-legitimation.

Med Legitimeringsfunktion avses teknisk funktion där Användaren legitimerar sig för tillträde, uppgiftslämnande eller underskrift.

Med Leverantör avses en aktör som uppfyllt de krav som ställts för godkännande till auktorisationssystem i fråga om tjänster för elektronisk identifiering och som ingår anslutningsavtal för auktorisationssystemet.

Med Samarbetsanslutning avses en anslutning där en utfärdare av E-legitimationer ingår i ett nära samarbete med en utfärdare av Identitetsintyg. Ett sådant samarbete ska vara varaktigt och kännetecknas av långsiktighet samt innebära en nära teknisk och organisatorisk koppling mellan utfärdaren av E-legitimationer och utfärdaren av Identitetsintyg. Vidare ska det föreligga ett ägarsamband mellan utfärdaren av Identitetsintyg och utfärdaren av E-legitimationer. Vid sådan anslutning anses utfärdaren av Identitetsintyg utgöra Leverantör enligt definitionen i Anslutningsavtalet och utfärdaren av E-legitimationer utgör dess underleverantör.

Med Tekniskt ramverk avses ramverk med tekniska specifikationer för identitetsfederationen Sweden Connect. Ramverket publiceras på Tillhandahållande myndighets webbplats.

Med Tillitsramverket för Svensk e-legitimation avses det ramverk som baseras på internationella standarder och som anger vilka krav som ska uppnås för att tillförlitlighet i utfärdade E-legitimationer på angivna tillitsnivåer ska säkerställas. Ramverket publiceras på Tillhandahållande myndighets webbplats.

Med Offentlig aktör avses samma innebörd som i lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.

3. Auktorisationssystemets omfattning

Auktorisationssystem för elektronisk identifiering omfattar en icke-exklusiv rätt för leverantören att mot möjlighet till ersättning från tillhandahållande myndighet utföra nedanstående tjänster.

3.1. Beskrivning av tjänster

3.1.1. Tillhandahålla E-legitimationer

Leverantör ska tillhandahålla E-legitimationer, i enlighet med Tillitsramverket för Svensk e-legitimation på den tillitsnivå för vilken Leverantörer är godkänd enligt Tillitsramverket för Svensk e-legitimation, för enskilda som har personnummer.

En leverantör får även tillhandahålla E-legitimationer som utfärdas till enskilda som har samordningsnummer.

E-legitimationerna ska uppnå en eller flera av tillitsnivåerna 2, 3 och 4 enligt definitionerna i Tillitsramverket för Svensk e-legitimation.

3.1.2. Tillhandahålla funktioner

Leverantör ska tillhandahålla funktioner där:

• Användare, legitimerar sig för tillträde, uppgiftslämnande eller elektronisk underskrift (Legitimeringsfunktion),
• Användaren identifieras och intyg utfärdas om vem som har legitimerat sig (Identifierings- och intygsfunktion),
• Användaren identifieras och intyg utfärdas om vem som har skrivit under (Funktion för elektronisk underskrift).

3.1.3. Identitetsintyg

Leverantör ska förse intygen (Identitetsintyg) med uppgifter om Användarens identitet och attribut samt elektronisk signatur för Leverantören av E-legitimation, och

Leverantör ska leverera Identitetsintyg till den Offentlig aktör som beställt intyget, med användning av uppgifter som är registrerade i aktörskatalogen om Leverantören gör tjänsterna tillgängliga enligt Tekniska ramverket.

3.1.3.1. ID-växling

Leverantör får erbjuda möjlighet till Id-växling.

3.1.3.2. Ersättningsmodell

3.1.3.2.1. Övergripande beskrivning av modellen

Ersättningsmodellen är uppbyggd med kalenderår som beräknings- och ersättningsperiod. De krav som ställs och den ersättning som betalas ut till leverantören bygger således på innevarande kalenderår och de händelser som där inträffar. Vid varje nytt kalenderår återställs räkningen till noll igen.

Rätten till ersättning är uppdelad i två steg som bygger på antalet transaktioner under innevarande kalenderår som tröskelvärde för rätten till ersättning. Modellen ser ut som följande.

3.1.3.2.1.1. Fast ersättning grund

För upp till och med 31 250 000 Transaktioner per kalenderår erhåller Leverantören en fast ersättning kallad ”Fast ersättning grund”.

Den fasta ersättningen uppgår till maximalt 2 500 000 SEK per kalenderår och betalas ut med en tolftedel varje månad efter det att tjänster tillhandahålls i auktorisationssystem.

Leverantören har endast rätt till Fast ersättning grund under de hela månader som denne är ansluten till Auktorisationssystem för elektronisk identifiering.

Om Leverantören övergår till att kvalificera sig för Rörlig ersättning, justeras ersättningen enligt reglerna i punkt 3.1.3.2.3.

3.1.3.2.2. Fast ersättning tillägg

Leverantör som erbjuder Offentlig aktör anslutning enligt Tekniskt ramverk för Sweden Connect erhåller en fast ersättning kallad ”Fast ersättning tillägg”.

Ersättningen motsvarar den integrationsavgift som en Offentlig aktör annars skulle betala till Leverantören.

Ersättningen uppgår till maximalt 2 000 000 SEK per kalenderår och betalas ut med en tolftedel varje månad efter det att tjänster tillhandahålls inom auktorisationssystem.

Leverantören har endast rätt till denna ersättning för de hela månader som denne är ansluten till Auktorisationssystem för elektronisk identifiering och erbjuder Offentlig aktör anslutning enligt Tekniskt ramverk för Sweden Connect.

3.1.3.2.3. Rörlig ersättning

När antalet genomförda Transaktioner överskrider 31 250 000 per kalenderår utgår i stället en Rörlig ersättning om 0,08 SEK per Transaktion, istället för Fast ersättning grund.

Den månad som tröskeln överskrids, utgår resterande del av den fasta ersättningen samt en rörlig ersättning för alla Transaktioner utöver 31 250 000.

För återstående månader av kalenderåret gäller endast Rörlig ersättning för genomförda Transaktioner under respektive månad, och i förekommande fall Fast ersättning tillägg.

4. Ansökan om godkännande

4.1. Ansökans form och innehåll

Ansökan ska vara skriven på svenska.

Ansökan ska, märkt ”Ansökan godkännande Auktorisationssystem elektronisk identifiering”, sändas till:

registrator@digg.se

eller

Myndigheten för digital förvaltning
Box 14
851 02 Sundsvall

eller lämnas i Diggs reception, adress Jägargatan 1 i Sundsvall. Öppettider framgår på Diggs webbplats.

Ansökan ska utformas i enlighet med kraven som anges på denna webbsida och innehålla samtliga de uppgifter och handlingar som efterfrågas i ansökningsformuläret.

Formulär leverantörs ansökan om anslutning till Auktorisationssystem för elektronisk identifiering Pdf, 223 kB.

Ansökan ska undertecknas av behörig företrädare för leverantören.

4.2. Bundenhet och återtagande

Leverantören är bunden av sin ansökan i sex månader från att den kommit in till tillhandahållande myndighet.

Vill leverantören återta sin ansökan ska denne skyndsamt skriftligen meddela tillhandahållande myndighet om sin inställning.

4.3. Ansökningstid

Det är möjligt att ansöka om godkännande under hela auktorisationssystemets giltighetstid.

4.4. Frågor och svar

Frågor inför och under ansökningsprocessen om krav och villkor för Auktorisationssystem för elektronisk identifiering som är av allmän och principiell karaktär kan ställas till Digg per e-post till:

e-legitimation@digg.se

Avidentifierade frågor och svar kan kontinuerligt komma att publiceras på Diggs webbplats.

4.5. Sekretess

Huvudregeln är att uppgifter i ansökan och övriga handlingar är offentliga.

Om leverantören önskar att vissa uppgifter bör skyddas av sekretess ska leverantören upplysa tillhandahållande myndighet om detta, tillsammans med skälen för att sekretessbelägga uppgifterna. Det ska i sådana fall anges i en separat bilaga som ska skickas in tillsammans med ansökan.

Om någon utomstående begär att få ta del av en uppgift prövar tillhandahållande myndighet om uppgiften kan lämnas ut enligt reglerna i offentlighets- och sekretesslagen (2009:400) (OSL). Skälen för sekretess som leverantören har redovisat i ansökan ingår i underlaget för tillhandahållande myndighets prövning av om uppgifterna skyddas av sekretess men binder inte tillhandahållande myndighet.

4.6. Godkännande och avtalsskrivning

Tillhandahållande myndighet kommer att godkänna samtliga leverantörer som uppfyller de krav för godkännande som framgår av avsnitt 5. Krav för godkännande. Utöver de krav som gäller för godkännande har tillhandahållande myndighet möjlighet att avslå en leverantörs ansökan om någon av de omständigheter som anges i 11 § lagen om auktorisationssystem föreligger.

Lag (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (riksdagen.se) Länk till annan webbplats.

Tillhandahållande myndighet kommer att fatta sitt beslut om godkännande av ansökan inom tre månader från det att myndigheten fått in samtliga uppgifter som krävs för att kunna pröva leverantörens ansökan.

Efter det att tillhandahållande myndighet beslutat om att godkänna en leverantörs ansökan om anslutning till auktorisationssystemet kommer myndigheten snarast underrätta leverantören om beslutet och skälen för det. Om tillhandahållande myndighet beslutar att inte godkänna leverantörens ansökan ska leverantören få en upplysning om hur rättelse kan sökas.

Sedan tillhandahållande myndighet lämnat sitt godkännande, ska myndigheten och leverantören utan dröjsmål teckna anslutningsavtal.

4.7. Återkallande och upphörande av godkännande

Innan anslutningsavtal har ingåtts med leverantören har tillhandahållande myndighet rätt att återkalla sitt beslut om godkännande av leverantörens ansökan, om det efter godkännandet framkommer att leverantören inte längre uppfyller kraven för godkännande.

Godkännandet av en leverantörs ansökan gäller i maximalt två månader och förfaller därefter automatiskt om anslutningsavtal inte har ingåtts. Efter att godkännandet förfallit måste leverantören på nytt ansöka om godkännande för att kunna ansluta till auktorisationssystemet.

Godkännandet upphör vid undertecknande av anslutningsavtalet och leverantören övergår då till att vara ansluten till auktorisationssystemet. Sägs anslutningsavtalet upp måste leverantören på nytt ansöka om godkännande för att få ansluta till auktorisationssystemet.

4.8. Ändring av krav och villkor i auktorisationssystemet

Kraven och villkoren i auktorisationssystemet kan vid behov komma att ändras. Sådana ändringar kan exempelvis föranledas av ny lagstiftning eller nya eller ändrade behov avseende säkerhet, tillgänglighet, användbarhet etc.

Leverantören kommer att informeras om eventuella krav- och villkorsändringar för att kunna anpassa sin verksamhet.

5. Krav för godkännande

För att en leverantörs ansökan om anslutning till Auktorisationssystem för elektronisk identifiering ska godkännas ska leverantören uppfylla kraven i detta avsnitt.

5.1. Uppgifter om leverantören

I ansökan ska leverantören ange leverantörens

• namn,
• organisationsnummer eller motsvarande identifikationsnummer som framgår av registreringsbevis,
• postadress, samt
• uppgift om vem som är behörig företrädare för leverantören.

Leverantören ska även ange vem som är leverantörens kontaktperson i ärendet om anslutning till auktorisationssystem. Leverantören ska ange kontaktpersonens namn, organisation, e-postadress och telefonnummer.

5.2. Etablering och registrering inom EES

Leverantören ska vara etablerad och registrerad i ett land inom Europeiska ekonomiska samarbetsområdet i enlighet med landets regler om registrering i aktiebolags-, handelsregister eller liknande register.

Leverantören ska på begäran lämna dokumentation som motsvarar kopia på registreringsbevis utfärdad av behörig officiell myndighet som visar att leverantören är registrerad i enlighet med landets regler om registrering. Dokumentationen får inte vara äldre än två månader räknat från dagen för ansökan.

5.3. Registrering för skatter och avgifter

Leverantören ska uppfylla krav avseende registrering för skatter och avgifter i det land eller i de länder som leverantören är etablerad och registrerad i.

Leverantören ska på begäran lämna dokumentation som motsvarar kopia på registreringsbevis utfärdad av behörig officiell myndighet som visar att leverantören är registrerad för skatter och avgifter. Dokumentationen får inte vara äldre än två månader räknat från dagen för ansökan.

5.4. Nödvändig ekonomisk och finansiell kapacitet

Leverantören ska ha den nödvändiga ekonomiska och finansiella kapaciteten som krävs för att under minst ett år kunna fullgöra de åtaganden som följer av anslutningsavtalet.

En leverantör uppfyller kravet genom att lägst ha en rating motsvarande låg risk hos ett kreditupplysningsföretag.

Om leverantören inte kan kontrolleras hos det kreditupplysningsföretag som tillhandahållande myndighet har anlitat ska leverantören på begäran visa att den uppfyller kravet genom att, inom fem arbetsdagar efter begäran, komma in med dokumentation motsvarande ett intyg från ett annat kreditupplysningsföretag eller motsvarande institut som visar att leverantören har lägst en rating motsvarande låg risk. Dokumentationen får inte vara äldre än tre månader räknat från dagen för ansökan.

Om leverantören inte kan uppvisa lägst en rating motsvarande låg risk ska leverantören på begäran lämna en förklaring till den avvikande ratingen. Om leverantören kan lämna en godtagbar förklaring kan leverantören ändå anses uppfylla kravet.

5.5. Företags- och ansvarsförsäkringar

Leverantören ska inneha gällande företags- och ansvarsförsäkringar eller andra liknande garantier som är anpassade för leverantörens verksamhet. Försäkringarna eller garantierna ska täcka eventuella skadeståndsanspråk som orsakas av leverantören eller personal hos leverantören.

Leverantören ska på begäran lämna dokumentation som motsvarar kopia av försäkringsbrev eller liknande intyg för att visa att leverantören uppfyller kravet.

5.6. Godkänd enligt Tillitsramverket för Svensk e-legitimation

Leverantören ska vara godkänd av tillhandahållande myndighet enligt Tillitsramverket för Svensk e-legitimation för aktuell tillitsnivå.

5.7. Förbinda sig att ingå anslutningsavtal

Leverantören ska förbinda sig att ingå anslutningsavtal utan reservationer eller invändningar mot anslutningsavtalets innehåll.

Ändringar eller reservationer likställs med en oren ansökan och kommer resultera i att ansökan avslås.

5.8. Särskilda krav för företag under bildande

Om leverantören är ett företag under bildande ska leverantören anses uppfylla kraven i punkt 5.2 Etablering och registrering inom EES, punkt 5.3 Registrering för skatter och avgifter samt punkt 5.5 Företags- och ansvarsförsäkringar om leverantören:

• intygar att den, senast vid ingåendet av anslutningsavtal kommer att uppfylla krav på etablering och registrering, krav på registrering för skatter och avgifter samt krav på företags- och ansvarsförsäkring, och
• åtar sig att, senast vid ingåendet av anslutningsavtal, ge in dokumentation som visar att den uppfyller kraven vid tidpunkten för ingåendet av anslutningsavtalet.

5.9. Gemensam ansökan

Enligt lagen om auktorisationssystem får flera leverantörer gå ihop och lämna en ansökan om anslutning auktorisationssystemet gemensamt.

För en sådan sammanslutning gäller dock att samarbetet, senast inför avtalstecknandet ska uppgått i en sådan juridisk person som krävs för att uppfylla kravet i punkt 5.2 Etablering och registrering inom EES.

Det innebär att om flera leverantörer går samman och gemensamt ansöker om anslutning till auktorisationssystem ska leverantören intyga att samarbetet, senast vid ingåendet av anslutningsavtal, ska ha uppgått i en sådan juridisk person som krävs för att uppfylla kravet i punkt 5.2 Etablering och registrering inom EES.

5.10. Åberopande av annat företags kapacitet

En leverantör får åberopa annans ekonomiska, tekniska eller yrkesmässiga kapacitet i ansökan. Leverantören ska då till ansökan bifoga motsvarande bevis som krävs avseende den vars kapacitet åberopas. Leverantören ska i så fall visa att den därigenom kommer att förfoga över nödvändiga resurser för att fullgöra avtalet, genom att visa upp ett skriftligt åtagande från sådana företag eller på något annat sätt.

6. Behandling av personuppgifter

De uppgifter som leverantören lämnar i ansökan och som i övrigt behövs för att tillhandahållande myndighet ska kunna fatta beslut om godkännande av leverantörens ansökan behandlas av tillhandahållande myndighet att handlägga ansökan om anslutning till auktorisationssystemet.

Digg är personuppgiftsansvarig för behandlingen. Uppgifterna behandlas i enlighet med dataskyddsförordningen (GDPR) och offentlighets- och sekretesslagen (2009:400). Observera att uppgifterna kan bli allmänna handlingar och lämnas ut enligt offentlighetsprincipen, om inte sekretess gäller.

Mer information om hur Digg behandlar personuppgifter finns på www.digg.se/personuppgifter.

Dokument och länkar

• Föreskrifter Auktorisationssystem för elektronisk identifiering och digital post
• Lag (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (riksdagen.se) Länk till annan webbplats.
  
• Förordning (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post (riksdagen.se) Länk till annan webbplats.