Kompletterande bestämmelser till EU:s reviderade förordning om elektronisk identifiering (SOU 2024:45)
Myndigheten för digital förvaltning (Digg), som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig, lämnar följande synpunkter.
DND: Fi2024/01413
Sammanfattning
Utifrån sitt samordnande och stödjande uppdrag välkomnar Digg utredningens förslag att myndigheten ska ansvara för tillhandahållandet av en europeisk digital identitetsplånbok för fysiska personer och utfärda personidentifieringsuppgifter (PID) samt ansvara för vissa andra arbetsuppgifter som hänger samman med dessa uppdrag.
Digg lämnar först mer allmänna synpunkter bl.a. om beröringspunkterna mellan den statliga e-legitimationen och den europeiska digitala identitetsplånboken. Dessutom redogörs för behovet av förvaltningsgemensamma lösningar. Därefter kommenteras utredningens författningsförslag samt förslag och bedömningar i avsnitten rörande tillhandahållare av den europeiska digitala identitetsplånboken, kostnadsfria valideringsmekanismer, nationell certifieringsordning och åtgärder för ökad tillgänglighet samt behandling av personuppgifter och gränsöverskridande identitetsmatchning. Digg lämnar också ytterligare information om förslagets konsekvenser för myndigheten.
Generella synpunkter
Digg välkomnar utredningens förslag
Digg tillstyrker förslagen att myndigheten ska tillhandahålla europeiska identitetsplånböcker och personidentifieringsuppgifter till fysiska personer samt därmed sammanhängande arbetsuppgifter. Digg delar utredningens uppfattning att myndigheten bör ges föreskriftsrätt för att kunna fullgöra sina uppgifter. Dessutom instämmer Digg i bedömningen att certifierade europeiska digitala identitetsplånböcker ska få tillhandahållas även av privata aktörer som godkänts för detta efter att ha genomgått ett anmälnings- och granskningsförfarande (godkända tillhandahållare). Digg är positiv till att myndigheten ges i uppgift att ansvara för granskning av plånböcker som tillhandahålls av andra än Digg. Myndigheten delar uppfattningen att en samlad översyn av tillsyn inom identitetsområdet är önskvärd.
Digg kommer inte att ansvara för den statliga e-legitimationen
Den statliga e-legitimationen kommer att vara nödvändning för användningen av europeiska digitala identitetsplånböcker i Sverige. Anskaffandet av en europeisk digital identitetsplånbok sker genom att användaren först skaffar en digital identitetsplånbok som stöds av medlemsstaten. Därefter kopplas, med användning av en e-legitimation på tillitsnivå hög, nödvändiga och tillräckligt säkra uppgifter för personidentifiering (PID) till den digitala plånboken. Användaren kan därefter förse sitt exemplar av den europeiska identitetsplånboken med olika elektroniska attributsintyg. Det är alltså först när en PID kopplats till plånboken som användaren kan sägas ha en giltig europeisk digital identitetsplånbok. Eftersom en koppling av PID till plånboken förutsätter att användaren har tillgång till en e-legitimation på tillitsnivå hög, kommer tillgången till en statlig e-legitimation att vara en avgörande förutsättning för användningen av europeiska digitala identitetsplånböcker i Sverige.
Till skillnad från utredningens förslag i delbetänkandet (SOU 2023:61) föreslår regeringen i budgetpropositionen för 2025 att Polismyndigheten ska ansvara för utfärdandet av den statliga e-legitimationen (Prop. 2024/25:1 Budgetpropositionen för 2025. Utgiftsområde 22 Kommunikationer, avsnitt 4.5). Det är i nuläget svårt att överblicka samtliga konsekvenser av detta förslag med avseende på digitala identitetsplånböcker och utfärdande av PID, bl.a. med beaktande av att Digg även är tillhandahållande myndighet enligt lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering. Behovet av bl.a. författnings¬ändringar och gemensamma tekniska lösningar behöver därför analyseras närmare efter att Polismyndigheten påbörjat sitt arbete.
Tillhandahållande av personidentifieringsuppgifter för juridiska personer
Digg instämmer i utredningens förslag att Bolagsverket ska tillhandahålla person¬identifierings-uppgifter för juridiska personer (LPID). Utredningen tar dock inte hänsyn till att de tekniska lösningar som krävs för att tillhandahålla LPID till en juridisk person är desamma som krävs för att utfärda en PID till en fysisk person. Bolagsverket bör därför i kommande genomförande-uppdrag uppmanas att samverka med Digg för att uppnå synergier med utfärdandet av PID i arbetet med att tillhandahålla LPID till juridiska personer.
Det finns ett behov av förvaltningsgemensamma lösningar
Den reviderade eIDAS-förordningen innebär att myndigheter och andra offentliga aktörer ska tillhandahålla uppgifter i offentliga register som elektroniska attributsintyg. Förordningen ger dessa aktörer möjlighet att antingen själva utfärda elektroniska attributsintyg eller att sköta uppgiften via en tredje part som då ger ut attributsintyg på uppdrag av registerhållaren. Myndigheterna kommer dock inte bara att ansvara för utfärdande av attributsintyg – de kommer också att interagera med fysiska och juridiska personers plånböcker, t.ex. vid utfärdande av attributsintyg och dessutom även agera som förlitande part och kommunicera med plånböcker inom ramen för e-tjänster och validering. Arbetsuppgifterna kommer att ställa omfattande krav på nya tekniska lösningar. Myndigheternas uppdrag är likartade och förvaltningsgemensamma lösningar skulle därför kunna vara ett effektivt alternativ för att tillgodose myndigheternas behov av ny teknik. Sådana lösningar skulle också avsevärt minska kostnaderna för offentlig sektor (Jfr. Diggs genomförandeplan för införandet av bevisutbyte enligt engångsprincipen, kapitel 8 Kostnadsanalys där Digg har i denna bedömt att den kostnadseffektivisering som införandet av SDG-förordningen medför innebär att gemensamma lösningar skulle kunna ha ett förhållande 1:10, dvs. 1 investerad krona skulle ge 10 kr i besparing för Sveriges genomförande). Framförallt för många mindre kommuner, vårdgivare, Länsstyrelser och små myndigheter skulle det annars kunna bli mycket kostsamt att etablera egna tekniska lösningar eller anlita en tredje part. Samordningen av införandet och utvecklingen av förvaltningsgemensamma tjänster och lösningar bör ske inom ramen för Ena – Sveriges digitala infrastruktur. För information som omfattas av SDG-förordningen (Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012) är det sannolikt även möjligt att återanvända den infrastruktur som redan byggs upp för kommunikation med registerhållarna. Formerna för arbetet med förvaltningsgemensamma lösningar behöver analyseras närmare och ytterligare instruktioner från regeringen kan lämpligen lämnas inom ramen för kommande genomförandeuppdrag.
Diggs synpunkter på utredningens förslag
1 Författningsförslag
Förslaget till lag om ändring i lagen (2016:561) om kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
10 § innehåller en punktuppställning med flera meningar. Första meningen bör avslutas med kolon och första punkten bör som en konsekvens av detta inledas med stor bokstav.
Förslaget till förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Utredningen föreslår omfattande ändringar i kompletteringsförordningen. Ändringarna innebär att paragrafer upphör att gälla, att nya paragrafer införs och att flera befintliga paragrafer får ny beteckning. Digg anser att de omfattande förändringar som föreslås innebär att det bör övervägas om ett upphävande av förordningen i kombination med utfärdande av en ny förordning är en bättre metod för att genomföra de önskade förändringarna. En sådan lösning skulle enligt Digg sannolikt öka tydligheten och läsbarheten.
6.3.1 Tillhandahållare av den europeiska digitala identitetsplånboken
Plånboksutfärdarens säte
Digg delar utredningens uppfattning att det vid sidan av de skyldigheter som följer direkt av den reviderade eIDAS-förordningen kan finnas anledning att också ställa vissa krav på aktörer som tillhandahåller identitetsplånböcker avseende bl.a. associationsform, organisation och etablering.
Utredningen slår bl.a. fast att aktören bör vara etablerad i Sverige (s. 139). Digg anser att det följer direkt av den reviderade eIDAS-förordningen att en medlemsstats befogenhet endast omfattar godkännande av aktörer i det egna landet. Om det råder oklarhet kring hur förordningen ska tolkas i detta avseende bör det tydliggöras i författning att Diggs uppdrag bara avser aktörer med säte i Sverige.
Tillhandahållande av plånbok till juridiska personer
I nuläget saknas tillräckliga underlag för att ta ställning till om utredningens förslag att Digg ska ansvara för tillhandahållandet av plånböcker även till juridiska personer leder till effektivitets-vinster och i förlängningen till kostnadsbesparingar.
Det är fortfarande oklart hur en europeisk digital identitetsplånbok för juridiska personer ska utformas. Varken den reviderade eIDAS-förordningen, tillgängliga genomförandeakter eller de specifikationer som just nu tas fram bidrar i tillräcklig omfattning till att klargöra hur en plånbok för juridisk person ska fungera. Begreppet plånbok till juridisk person kan dessutom tolkas på två sätt. Det kan dels röra sig om en fysisk person som laddar ner en LPID till sin plånbok i syfte att kunna styrka identiteten på en juridisk person som den fysiska personen representerar, dels avse situationen att en juridisk person självständigt ska kunna tilldelas en plånbok och en LPID i syfte att möjliggöra automatiserade dialoger med andra aktörers plånböcker. Digg bedömer att det kan finnas såväl användningsområden som fördelar med båda alternativen, men att det krävs regler på EU-nivå innan de kan realiseras.
Elektroniska underskrifter
Utredningen lämnar inga förslag och gör inga bedömningar rörande avancerade elektroniska underskrifter. Samtidigt är ett av kraven på plånboken att användaren med hjälp av plånboken ska kunna underteckna eller stämpla handlingar med en kvalificerad elektronisk underskrift eller en kvalificerad elektronisk stämpel. För att Digg ska kunna fullgöra sina uppgifter som tillhandahållare av den europeiska digitala identitetsplånboken krävs därför fungerade lösningar för elektroniska underskrifter. I dagsläget finns dock ingen tjänst på marknaden som uppfyller kraven i specifikationen för fristående underskriftstjänst och är godkänd för framställning av kvalificerade elektroniska underskrifter. Regeringen kan därför behöva överväga andra lösningar för att säkerställa tillgången till tjänster för kvalificerade elektroniska underskrifter.
6.3.5 Kostnadsfria valideringsmekanismer
Utredningen föreslår att Digg ska tillhandahålla en kostnadsfri valideringsmekanism som säkerställer att europeiska digitala identitetsplånböckers äkthet och giltighet kan kontrolleras. Den reviderade eIDAS-förordningen saknar regler för certifiering av valideringsfunktionerna. Valideringen kommer bestå av ett flertal kontroller mot bl.a. tillitsförteckningar och spärrlistor samt omfatta elektroniska underskrifters giltighet. Det saknas i dagsläget specifikationer för hur detta ska utföras och de metoder som idag beskrivs i fastställda standarder uppfyller inte förordningens krav. Valideringsfunktionerna kommer därför sannolikt behöva förfinas under många år framöver. För att klara av den framtida anpassningen är det viktigt att finna sätt som motverkar en för stor variation mellan förlitande parters lösningar. Arbetet kommer därför att behöva genomföras i nära samarbete med dessa parter, men Digg kommer i egenskap av tillhandahållare av valideringsmekanismen att behöva ta en ledande roll. Det är därför viktigt att det i den fortsatta beredningen säkerställs att Diggs föreskriftsrätt även omfattar lösningar för interoperabilitet vid integrationen mellan förlitande parter. I detta sammanhang bör även det förslag till bemyndigande som Utredningen om interoperabilitet vid datadelning lämnat i SOU 2023:96 analyseras i syfte att bedöma om ett sådant bemyndigande även skulle kunna omfatta den datadelning som sker mellan förlitande parter (Se 4 § i utredningens förslag till förordning (202X:000) om den offentliga förvaltningens interoperabilitet).
6.3.7 Nationell certifieringsordning
Digg instämmer i bedömningen att Försvarets materielverk (FMV) bör tilldelas ansvaret för certifiering av system för elektronisk identifiering. Utredningen gör bedömningen att Digg är bäst lämpad att ta fram en eventuell nationell certifieringsordning med krav som inte omfattas av kraven i cybersäkerhetsakten. Utredningen lämnar dock inget förslag i denna del.
I arbetet med genomförandeakter har nationella certifieringsordningar aktualiserats som en temporär lösning i avvaktan på att en sådan ordning tagits fram på EU-nivå. Digg anser att en lösning med nationella certifieringsordningar för Sveriges del skulle vara tidskrävande och svårgenomförbar samt medföra mycket höga kostnader. Brister i de nationella certifierings-ordningarna kan också leda till att oseriösa aktörer godkänns och det finns även en risk för att medlemsstater kommer ha låg tilltro till certifieringar gjorda utanför det egna landet. Sammantaget anser Digg att andra lösningar än nationella certifieringsordningar är att föredra. Digg bör dock ges föreskriftsrätt för att kunna ta fram en nationell certifieringsordning om det skulle uppstå en situation där nationella certifieringslösningar väljs som lösning på EU-nivå.
6.3.8 Tillhandahållandet förutsätter att åtgärder för ökad tillgänglighet vidtas
Digg delar utredningens bedömning att det, för att tillgodose kraven i den reviderade eIDAS-förordningen, behöver genomföras tillgänglighetsanpassningar som syftar till att uppnå lika tillgång till digital identifiering för alla medborgare och invånare samt att åtgärder kopplade till ställföreträdares uppdrag att företräda annan behövs. En förutsättning för att uppnå detta är enligt Diggs uppfattning att förslagen inom dessa områden, som finns i utredningens delbetänkande En säker och tillgänglig statlig e-legitimation (SOU 2023:61) och i Ställföreträdarutredningens betänkande Gode män och förvaltare – en översyn (SOU 2021:36), genomförs.
6.3.9 Behandling av personuppgifter
Digg delar utredningens bedömning att det behövs kompletterande nationella bestämmelser om behandling av personuppgifter. Bestämmelsen i 12 § bör dock utformas så att ändamålet med behandling av personuppgifter formuleras bredare och kopplas till myndighetens samtliga uppgifter rörande den europeiska digitala identitetsplånboken (hela verksamheten för det statliga tillhandahållandet).
När det gäller utformningen av generella bestämmelser ställer sig Digg tveksam till en användning av begreppet tillhandahållande. Verksamheten för det statliga tillhandahållandet omfattar nämligen fler arbetsuppgifter där personuppgiftsbehandling behöver ske än enbart tillhandahållandet av den europeiska digitala identitetsplånboken. Bestämmelsen bör ta sikte på hela verksamheten (jämför t.ex. förslaget till ändring i 6 § sekretessförordningen [2009:641]). Vid utformningen av bestämmelsen är det därför viktigt att analysera vilka arbetsuppgifter (tillhandahållande, granskning, godkännande, underrättelse till tillsynsmyndighet, validering, utfärdande av PID m.m.) som kräver personuppgiftsbehandling och vilka förvaltningsrättsliga beslut, som medför att personuppgifter behöver behandlas i verksamheten.
Digg strävar efter att de registerförfattningar som specifikt gäller för myndighetens verksamhet ska vara så renodlade som möjligt. Digg anser därför att förslaget till 12 § 2 stycket i lagen (2016:561) om kompletterande bestämmelser till EU:s förordning om elektronisk identifiering enbart är av förtydligande karaktär och kan utgå.
Digg delar inte utredningens bedömning att den behandling av personuppgifter som aktualiseras vid tillhandahållande av PID, som ska kopplas till en europeisk digital identitetsplånbok inte kräver någon nationell författningsåtgärd. Utredningen har inte haft tillgång till de genom-förandeakter som under höstens tagits fram på EU-nivå, utan baserar bedömningen på att endast ett fåtal uppgifter (nuvarande efternamn, nuvarande förnamn, födelsedatum och unik identitetsbeteckning) ska behandlas i samband med utfärdandet av PID. De genomförandeakter som nu behandlas innebär att betydligt fler personuppgifter och även känsliga personuppgifter (nationalitet, födelseort, ansiktsbild m.m.) kan komma att behandlas. Digg vill därför uppmärksamma regeringen på att författningsändringar kan vara nödvändiga för att säkerställa att Digg ges laglig rätt att behandla personuppgifter även i samband med utfärdandet av PID och i en sådan databas som myndigheten kan behöva föra över bl.a. utfärdade PID. I budgetpropositionen för 2025 föreslår regeringen dessutom att Polismyndigheten (och inte Digg) ska ansvara för utfärdandet av den statliga e-legitimationen (Prop. 2024/25:1 Budgetpropositionen för 2025. Utgiftsområde 22 Kommunikationer, avsnitt 4.5). Digg kommer därför inte att ansvara för databasen över statliga e-legitimationer, vilket innebär att behovet av författningsändringar behöver analyseras även i detta avseende. En sådan analys bör även omfatta sekretessregler, eftersom Digg för att kunna utfärda PID kommer att behöva tillgång till sådana ansiktsbilder som ska finnas i databasen över statliga e-legitimationer.
6.4 Gränsöverskridande identitetsmatchning
Digg delar utredningens uppfattning att det behövs en förvaltningsgemensam tjänst för att ge myndigheter och privata aktörer tillgång till sådan otvetydig identitetsmatchning för gränsöverskridande tjänster som den reviderade eIDAS-förordningen föreskriver att medlemsländerna ska säkerställa. Digg arbetar redan i dag med identitetsmatchning inom ramen för myndighetens regeringsuppdrag kopplat till Single digital gateway (SDG). Det är därför naturligt att Digg i samverkan med bl.a. Skatteverket ansvarar för att se till att det även tillhandahålls en sådan tjänst för identitetsmatchning som den reviderade eIDAS-förordningen kräver.
8 Konsekvenser
Utredningen har beräknat de ekonomiska konsekvenserna för Digg i avsnitt 8.5 och har i tabell 8.6 redovisat den totala beräknande kostnaden för de uppgifter utredningen föreslår att Digg ges. Samtidigt konstaterar utredningen att flera av förutsättningarna för den tekniska utformningen av identitetsplånböcker, certifiering för identitetsplånböcker, förteckningar över tillhandahållare och valideringsmekanismer inte kommer att vara klara förrän de genomförandeakter som ska tas fram till i slutet av år 2024 har publicerats. Detta har medfört att utredningen inte kunnat uppskatta alla kostnader och att det finns osäkerheter rörande de presenterade beräkningarna.
I budgetpropositionen för 2025 föreslår regeringen ökningar av Diggs anslag för införandet av den digitala identitetsplånboken (Prop. 2024/25:1 Budgetpropositionen för 2025. Utgiftsområde 22 Kommunikationer, avsnitt 4.6.6). Anslaget ökas med 63 800 000 kronor för 2025. För 2026 beräknas anslaget öka med 68 800 000 kronor och för 2027 beräknas anslaget öka med 101 800 000 kronor. För 2028 och 2029 beräknas anslaget öka med 81 800 000 kronor. Anslaget beräknas därutöver öka med 72 800 000 kronor fr.o.m. 2030. Regeringen har således efter det att utredningen lämnade sitt slutbetänkande gjort ytterligare bedömningar av de ekonomiska konsekvenserna för Diggs verksamhet med avseende på den europeiska digitala identitetsplånboken. Med beaktande av att regeringen delvis gjort egna bedömningar av de ekonomiska konsekvenserna för Digg, vilka kommit till uttryck i regeringens förslag till statens budget för 2025 avstår myndigheten från att lämna synpunkter på utredningens beräkningar av kostnaderna.
Digg vill dock uppmärksamma regeringen på att det kan tillkomma arbetsuppgifter för Digg som inte har beaktats av utredningen och som kan medföra kostnader för myndigheten. Det kan exempelvis röra sig om att ta fram funktionalitet för att garantera att fysiska personers kostnadsfria användning av kvalificerade elektroniska underskrifter är begränsad till icke-yrkesmässiga ändamål och att säkerställa tillgänglighet till plånboken, t.ex. i form av hjälpmedel, support och informationskampanjer. Eventuella nya uppdrag kan också medföra kostnader för arbete med anpassningar och funktionalitet hos förlitande parter i syfte att kontrollera äkthet och giltighet samt för olika former av stöd till utfärdare av elektroniska attributsintyg. Kostnaderna för att ta fram en nationell certifieringsordning och tillhandahålla en plånbok för juridiska personer kan också bli högre än vad som hittills beräknats.
Detta yttrande har beslutats av generaldirektör Anna Eriksson. I den slutliga handläggningen har också strateg Roger Fagerud, rättschef Linn Kempe och avdelningschef tillika ställföreträdande generaldirektör Chanett Edlund samt avdelningschef Johan Gellerstedt deltagit. Föredragande har varit jurist Anna Döös.
Anna Eriksson
Generaldirektör
Ditt svar hjälper oss att förbättra sidan
Publicerad: