Skolverkets förslag till föreskrifter om hantering och genomförande av digitala nationella prov

Sammanfattning

Digg tillstyrker Skolverkets förslag till föreskrifter om hantering och genomförande av digitala nationella prov.

Digg ser emellertid behov av förtydliganden av definitioner och tekniska krav avseende identifiering och autentisering i Skolverkets digitala provtjänst.

Generella synpunkter

Digg ser det som mycket positivt att Skolverket i sina föreskrifter hänvisar skolpersonal som ska använda provtjänsten för digitala nationella prov att nyttja en e-legitimation på minst tillitsnivå 2 enligt tillitsramverket för Svensk e-legitimation som Digg handhar i enlighet med förordningen (2018:1486). Skolverkets ställningstagande bidrar till en ökad spridning och användning av e-legitimationer som blivit granskade och godkända av Digg enligt tillitsramverket för Svensk e-legitimation. Därmed sker en harmonisering av infrastrukturen för e-legitimering och förutsättningarna för interoperabilitet både inom utbildningssektorn och samhället i stort stärks.

Definitioner

Digg vill i synnerhet uppmärksamma Skolverket på att en e-legitimation som är godkänd på tillitsnivå 2 enligt tillitsramverket för Svensk e-legitimation inte erhåller kvalitetsmärket, då kvalitetsmärket endast är reserverat för nivåerna 3 och 4. Digg vill också påminna om att tillitsramverket för Svensk e-legitimation i sin helhet omfattar tillitsnivåerna 2-4, det torde därför inte vara nödvändigt att i föreskrifterna specificera att e-legitimationerna lägst ska uppfylla kraven för tillitsnivå 2. Mot bakgrund av detta föreslår Digg därför en justering av begreppet ”e-legitimation” i föreskriftens 3 § till exempelvis följande:

”e-legitimation som godkänts enligt tillitsramverket för Svensk e-legitimation, som Myndigheten för digital förvaltning handhar i enlighet med förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning”.

Federerad inloggning är en vanligt förekommande teknisk lösning för elektronisk identifiering, bland annat inom Sweden Connect och vid gränsöverskridande e-legitimering inom EU/EES enligt eIDAS-förordningen. Digg föreslår därför ett förtydligande av begreppet i den aktuella kontexten, exempelvis genom följande definition:

”ett inloggningsförfarande som innebär att Skolverkets digitala provtjänst förlitar sitt åtkomstbeslut på en digital identitet som förmedlas av en intygsfunktion från en annan organisation”.

Tekniska krav

Digg önskar ett förtydligande av om ”användaruppgifter” i punkt 4 avser samma typ av uppgifter som följer i 5 § ”uppgifter om användare”, eller om det med användaruppgifter syftas på attribut i ett identitetsintyg för federerad inloggning.

Digg ser även ett behov av en tydligare formulering av punkt 6. Är det ett krav att e-legitimationen ska användas, eller är det tillräckligt att berörd personal har en e-legitimation och åtkomst sker genom federerad inloggning? Diggs tolkning av punkt 6 är att berörd personal på skolenheten ska identifieras eller autentiseras med hjälp av en e-legitimation i det federerade inloggningsförfarandet, och föreslår med utgångspunkt i denna tolkning en omformulering av punkt 6.

2.1 Förslag avseende tekniska krav

Digg ser ett behov av att Skolverket förtydligar kraven gällande tillhandahållare av intygsfunktioner (IdP). Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för svenska e-legitimationer, och i det fall e-legitimationsutfärdaren också tillhandahåller en intygsfunktion ska utfärdaren också efterleva bestämmelserna i tillitsramverket avseende utställande av identitetsintyg. Utöver detta kan en IdP ansöka om att få sin intygsfunktion granskad av Digg mot relevanta krav i tillitsramverket. Den som utfärdar e-legitimationen respektive identitetsintyget kan vara en och samma aktör, men behöver alltså nödvändigtvis inte vara det.

Digg tolkar föreskriftens krav på federerad inloggning som att Skolverket är förlitande part och att skolhuvudmannen är den part som ställer ut identitetsintyg.

Konsekvensutredningen anger att det för skolpersonal ”ska krävas ett identitetsintyg som uppfyller kravet på minst tillitsnivå 2 […] för autentisering i provtjänsten. Det innebär att det kommer att krävas att huvudmännen har e-legitimationslösningar som uppfyller de krav som ställs enligt förslaget nedan om e-legitimation för personal med minst tillitsnivå 2.” Digg anser att denna formulering innebär en risk för två olika tolkningar: att en huvudman kan ställa ut ett självdeklarerat identitetsintyg efter att ha autentiserat användaren med en godkänd svensk e-legitimation på minst tillitsnivå 2 – eller en mer strikt tolkning, att även identitetsintyget ska uppfylla minst tillitsnivå 2, något som innebär att huvudmannen och dess intygsfunktion behöver vara godkänd av Digg enligt tillitsramverket för Svensk e-legitimation. Digg önskar därför ett förtydligande av huruvida autentisering mot en IdP ska ske med en e-legitimation på minst tillitsnivå 2, eller om IdP-lösningen måste vara granskad och godkänd av Digg för att uppfylla kraven på förmedling av identitetsintyg på minst tillitsnivå 2.

Vidare anges att huvudmannen också kan införskaffa ”en IdP-lösning (det vill säga en utfärdare av e-legitimation eller en part som tillhandahåller intygsfunktion) som möter ställda krav.” Detta tolkar Digg som att skolhuvudmännen kan införskaffa en IdP-lösning som är godkänd av Digg och som också ingår i interfederationen FIDUS. Digg vill därför påpeka att någon sådan IdP inte finns på marknaden idag.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också arkitekten Aras Kazemi, verksamhetsutvecklarna Therese Pa Vestin och Krista Arplund deltagit. Föredragande har varit strateg Daniel Antonsson