Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62)

Sammanfattning

Digg tillstyrker i stort förslagen i slutbetänkandet och instämmer i huvudsak i de bedömningar som utredningen gör. Digg vill därutöver framföra följande synpunkter:

• Digg anser att kretsen som ska få ingå i systemet ska utvidgas ytterligare än vad som föreslås i lagen.
• Digg önskar kommentera att förslaget om att införa auktorisationssystem har dragits tillbaka. Därmed går det inte längre att identifiera det skifte från frivillighet till obligatorisk anslutning inom e-legitimationsområdet som utredningen beskriver.
• Digg vill påpeka att om det införs en möjlighet att införa ett undantag till det föreslagna obligatoriet för statliga myndigheter är det relevant att beakta den informationsmängd som skapas med anledning av att statliga myndigheter föreslås rapportera att de väljer att inte erkänna en i systemet godkänd e-tjänstelegitimation samt skälen till detta.
• Digg föreslår att det inom ramen för e-tjänstelegitimationer ges en särskild uppgift att säkerställa att offentlig förvaltning får det juridiska stöd som behövs för att möjliggöra en anslutning till tjänsterna, alternativt att anslagsfinansieringen för myndighetens uppgifter att ge juridisk vägledningen utökas.
• Digg har synpunkter på slutbetänkandets bedömning gällande hur säkerhetsincidenter ska hanteras av Digg. Med anledning av detta ser Digg även att en utredning bör göras beträffande behoven av en sekretessbestämmelse och en sekretessbrytande bestämmelse.
• Digg anser att utredningen underskattar omfattningen och kompetensbehovet av arbetet som Digg förväntas utföra kopplat till den incidenthantering som föreslås.
• Digg föreslår en ytterligare ökning av förvaltningsanslaget i relation till det ökade intresset av granskningar av e-legitimationer på tillitsnivå 2.

Detaljerade synpunkter

Definitioner i 3 § föreslagen lag

Digg anser att kretsen som får ingå i systemet ska utvidgas och inkludera fler aktörer, exempelvis apoteken som är viktiga inom vårdsektorn.

9 Utredningens förslag

9.4.1 En ny lag

Digg önskar kommentera att förslaget om att införa auktorisationssystem för elektronisk identifiering och digital post har dragits tillbaka. Utredningen beskriver, mot bakgrund av det förslaget, ett skifte från frivillighet till obligatorisk anslutning inom e-legitimationsområdet. Något sådant skifte går inte längre att identifiera, vilket Digg förutsätter att kommande lagförslag tar hänsyn till. Digg vill påtala att vi välkomnar ett obligatorium för förlitande parter att använda de tjänster som tillhandahålls av Digg för elektronisk identifiering.

9.4.8 Undantag från kravet på erkännande

Digg vill påpeka att om det införs en möjlighet att införa ett undantag till det föreslagna obligatoriet för statliga myndigheter är det relevant att beakta den informationsmängd som skapas med anledning av att statliga myndigheter föreslås rapportera att de väljer att inte erkänna en i systemet godkänd e-tjänstelegitimation samt skälen till detta. Dessa rapporter med tillhörande skäl, särskilt en sammanställning av dessa, kan ge en god överblick över brister, säkerhetsrisker och skäl till undantag från godkännande av e-legitimation i systemet.

9.4.9 Hantering av säkerhetsincidenter

Digg tillstyrker förslaget i stort men har synpunkter gällande lämpligheten av incidentrapportering till Digg. Synpunkterna gäller hanteringen för rapportering av säkerhetsincidenter av utfärdare direkt till förlitande part. Digg föreslår att Digg tar rollen som mottagare av incidenter för att undvika att alla utfärdare har tillgång till kontaktuppgifter till alla förlitande parter, även de som inte är direkta kunder till utfärdaren. Därutöver har Digg synpunkter på slutbetänkandets bedömning av att Digg skyndsamt ska bedöma hur allvarlig incidenten är. Om alla säkerhetsincidenter ska rapporteras in och hanteras skyndsamt kommer det krävas stora resurser hos Digg att hantera detta.

Digg ser även ett behov av att utreda en sekretessbestämmelse som omfattar de rapporter och sammanställningar som uppstår och förvaras hos Digg med anledning av incidentrapporteringen och sammanställningen av brister, risker och skäl till undantag från godkännande av e-legitimation. Denna information kommer att bli känslig och innehålla sårbarheter/risker som kan behöva skyddas av en egen sekretessparagraf.

I samband med detta bör även frågan om en sekretessbrytande bestämmelse införas för möjligheten att dela uppgifter mellan myndigheter som har behov av uppgifterna, exempelvis för att Digg ska kunna förmedla information om en incident till förlitande parter som är anslutna till systemet.

9.8 Ökat stöd avseende användning av e-tjänstelegitimationer

Digg anser inte att myndighetens uppgift att ge juridisk vägledning i digitaliseringsfrågor, med tillhörande anslagsfinansiering, kommer att vara tillräcklig för att möta det behov av stöd som finns på området. Digg har fått en utökad myndighetsuppgift att ge juridisk vägledning till offentlig förvaltning (6 § i myndighetens instruktion). Arbetet med dessa vägledningar utgår från en behovsanalys samt prioritering av digitaliseringsfrågor som kan bli aktuella för juridisk vägledning. Detta med anledning av att de regeringsuppdrag som föregick den instruktionsenliga uppgiften visade på att behovet i offentlig sektor överskrider den juridiska vägledning Digg har fått i uppgift att ge. Digg har tolkat och arbetat utefter att myndighetens uppgift att ge juridisk vägledning utgår från hur behovet av stöd ser ut hos offentlig förvaltning till syfte att driva på den förvaltningsgemensamma digitaliseringen, inte att vägledningarna ska utgå från de områden där myndigheten redan har instruktionsenliga uppgifter eller uppgifter som följer av lag. Digg föreslår därför att det inom ramen för e-tjänstelegitimationer ges en särskild uppgift att säkerställa att offentlig förvaltning får det stöd som behövs för att möjliggöra en anslutning till tjänsterna, alternativt att anslagsfinansieringen för myndighetens uppgifter att ge juridisk vägledningen utökas.

10 Konsekvenser av förslagen

Utredningen underskattar omfattningen och kompetensbehovet av arbetet som Digg förväntas utföra. Incidentrapporteringen kan bli väldigt tidskrävande då den i förslaget omfattar samtliga säkerhetsincidenter och kräver hög kompetens inom området.

Digg vill även framhålla det ökade intresset för granskningar av e-legitimationer på tillitsnivå 2 i den avtalsbaserade lösningen som redan finns för e-tjänstelegitimationer till exempel från skolsektorn. Digg föreslår därför en ytterligare ökning av förvaltningsanslaget med 1,5 miljoner kronor utöver vad utredningen föreslår.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också, specialisten Eva Sartorius, strategen Roger Fagerud, juristen Louise Wikström, informationssäkerhetsspecialisten Johan Lindberg, leveransledaren Lotta Hämäläinen, leveransområdeschefen Annika Bränström och chefsjuristen Linn Kempe deltagit. Föredragande har varit verksamhetsutvecklaren Therese Pa-Vestin.