Uppgiftsskyldighet för vissa e-legitimationsföretag

Sammanfattning

Myndigheten för digital förvaltning (Digg) har inga invändningar mot promemorians förslag, men vill lämna några medskick samt generella upplysningar som kan vara av relevans.

Medskicken avser användning av begreppet e-legitimationsföretag samt befintlig reglering på området. Vidare vill Digg lyfta leverantörers roll vid tillhandahållande av underskriftstjänster och dess roll i uppgiftsskyldigheten. Slutligen vill Digg uppmärksamma att den pågående revideringen av eIDAS-förordningen, inklusive införandet av den europeiska digitala identitetsplånboken (EUDI Wallet), kan påverka förslaget om uppgiftsskyldighet för vissa e-legitimationsföretag i framtiden.

Generella synpunkter

Begreppet e-legitimationsföretag

I promemorian föreslås ett nytt begrepp, e-legitimationsföretag, för att benämna företag som tillhandahåller tjänster för elektronisk identifiering och elektronisk underskrift. Digg föreslår att det ska tydliggöras om det med tjänster för elektronisk identifiering avses detsamma som i lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post, eller om begreppet e-legitimationsföretag även föreslås omfatta leverantörer av kringtjänster, exempelvis för teknisk integration mellan de aktörer som utbyter information om användarens identitet vid en legitimering (så kallade integratörer).

Befintlig reglering

På sidan 11 anges att det, utöver eIDAS-förordningen och de kompletterande bestämmelserna till förordningen, inte finns någon direkt reglering i svensk rätt av e-legitimationsföretagens verksamhet. Digg instämmer i att det inte finns någon direkt reglering men vill upplysa om att viss reglering följer av lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post samt Diggs föreskrifter om krav på leverantörers ansökan om anslutning till auktorisationssystem för tjänster för elektronisk identifiering och för digital post (MDFFS 2025:1). Det är dock frivilligt för leverantörer att ansöka om anslutning till auktorisationssystemet.

Digg noterar vidare att det aktuella lagförslaget enbart innebär en skyldighet för e-legitimationsföretag att, på begäran, lämna ut uppgifter om enskilda personers förhållanden till ett finansiellt företag. Förslaget innehåller däremot inga bestämmelser som reglerar hur sådana uppgifter ska bevaras eller lagras. Mot denna bakgrund vill Digg uppmärksamma att det i den nu gällande regleringen på området inte finns något uttryckligt krav på att e-legitimationsföretag ska spara eller bevara de uppgifter som omfattas av den föreslagna uppgiftsskyldigheten.

Underskriftstjänster

Digg noterar att promemorian inte uttryckligen nämner underskriftstjänster. Det kan dock förekomma fall där ett finansiellt företag anlitar en tredje part för att hantera e-legitimering och elektroniska underskrifter. Det finns en risk för oklarheter kring huruvida även leverantören av underskriftstjänsten omfattas av skyldigheten att lämna ut uppgifterna.

Den europeiska digitala identitetsplånboken

Digg önskar uppmärksamma att det pågår en stor reform inom identitetsområdet genom revideringen av eIDAS-förordningen, inklusive införandet av den europeiska digitala identitetsplånboken (EUDI Wallet).

Identitetsplånboken ska likställas med en e-legitimation på högsta tillitsnivå, vilket innebär att plånboksutfärdare bör betraktas som likställda med e-legitimationsutfärdare. Det kan inte uteslutas att vissa av dagens e-legitimationsutfärdare kan komma att överväga att bli, eller delvis övergå till att vara, plånboksutfärdare.

Identitetsplånboken förutsätter ett decentraliserat dataskyddsorienterat synsätt där användaren har kontroll över sina uppgifter. Varken utfärdare eller leverantör av funktioner inom identitetsplånboken får enligt förordningen samla in information om var och hur den används. Det innebär att det "helikopterperspektiv" som det refereras till i promemorian kan komma att bli svårt att uppnå i de framtida identitetsplånböckerna.

En identitetsplånbok utfärdad i en medlemsstat ska kunna användas i hela EU. Om uppgiftsskyldigheten enbart regleras i svensk författning är det möjligt att den inte fullt ut täcker situationer där uppgifter behöver lämnas i gränsöverskridande sammanhang i framtiden. Det kan därför finnas en risk att den effekt regeringen eftersträvar med uppgiftsskyldigheten blir något begränsad, eftersom regleringen inte gäller utanför Sverige.

Medlemsstaternas skyldighet att lansera digitala identitetsplånböcker träder i kraft den 24 december 2026. Även om användningen förväntas byggas upp successivt, bör redan från början tas hänsyn till de förändrade förutsättningar som beskrivs ovan.

Detta yttrande har beslutats av ställföreträdande generaldirektör Chanett Edlund. I den slutliga handläggningen har även rättschef Linn Kempe deltagit. Föredragande har varit specialist Claudia Forer.

Chanett Edlund