Till innehållet
  1. Start
  2. Publicerat
  3. Remisser och yttranden
  4. Yttranden 2019
  5. Remiss av Fördjupad utredning rörande koppling mellan utländska eID-handlingar och svenska identitetsbeteckningar

Remiss av Fördjupad utredning rörande koppling mellan utländska eID-handlingar och svenska identitetsbeteckningar

Sammanfattning

Myndigheten för digital förvaltning (DIGG) är generellt positiv till reformer som drar nytta av digitaliseringens möjligheter. Ur den aspekten är DIGG positiv till utredningens förslag rörande koppling mellan utländska eID-handlingar och svenska identitetsbeteckningar eftersom fler då kan använda en e-legitimation och svenska e-tjänster. Såvitt DIGG förstår innebär emellertid förslagen i SOU 2019:14 Ett säkert statligt ID-kort – med e-legitimation (nedan förkortad ID-kortsutredningen), om de genomförs, att alla som har svenskt personnummer kommer att kunna få en statlig e-legitimation. Det medför att DIGG ifrågasätter nyttan och behovet av det nu föreslagna kopplingsregistret.

DIGG bedömer att det går att genomföra förslaget avseende att den svenska eIDAS-noden förmedlar kopplingen från kopplingsregistret. DIGG ser ändå att det föreslagna sättet att förmedla kopplingen måste förtydligas.

Generella synpunkter

En förutsättning för att digitala e-tjänster ska kunna användas gränsöverskridande är att personer kan identifieras på ett säkert sätt. DIGG menar att det föreslagna kopplingsregistret kan vara ett bra första steg för att fler ska kunna använda en e-legitimation över gränserna. DIGG vill dock framföra att behovet även är stort för dem som saknar ett svenskt personnummer.

 eIDAS-förordningens huvudsakliga syfte är att möjliggöra gränsöverskridande e-legitimering för utländska medborgare till svenska offentliga e-tjänster. Behovet av gränsöverskridande e-legitimering för svenska medborgare med utländskt eID som vill använda svenska offentliga e-tjänster, bör tillgodoses på annat sätt.

Skatteverkets utgångspunkt är att tillförlitligheten i kopplingen minst måste motsvara tillitsnivån LoA 3. DIGG bedömer att det även kan finnas behov av kopplingar på lägre tillitsnivå. Detta skulle kunna öppna för snabbare och enklare kopplingar då kravet på personlig inställelse på en svensk polisstation då skulle kunna utgå.

ID-kortsutredningen föreslår att alla med ett svenskt personnummer ska kunna få en statlig e-legitimation. Både det statliga identitetskortet, med och utan funktion som resehandling (pass), bör enligt utredningens förslag innehålla en statlig e-legitimation. Härigenom kommer både personer som är folkbokförda i Sverige och svenska medborgare att omfattas. Om ID-kortsutredningens förslag genomförs kommer alla som har svenskt personnummer på det här sättet kunna få en statlig e-legitimation. Detta medför att DIGG ifrågasätter nyttan och behovet av det föreslagna kopplingsregistret, om ID-kortsutredningens förslag genomförs.

DIGG menar att både det föreslagna kopplingsregistret och de förslag som finns i ovan nämnda ID-kortsutredning syftar till att lösa samma fråga. Det är därför av största vikt att göra ett vägval för att säkerställa att medel och resurser används på bästa möjliga sätt. Om det föreslagna kopplingsregistret snabbare kan realiseras, kan det ändå tala för ett genomförande i väntan på den statliga e-legitimationen. Om kopplingsregistret genomförs måste lösningen uppfattas som enkel och användarvänlig. Nyttan måste motivera kostnaden för kopplingsregistret.

DIGG ifrågasätter om utlandsboende svenskar som saknar svensk e-legitimation och har eller kan få en utländsk e-legitimation är beredda att resa till Sverige för en registrering i kopplingsregistret. Utredningens förslag med två steg och kravet på en fysisk inställelse i Sverige, kan därför motverka användningen av föreslagen lösning.


6.1 Säkerhet och förtroende

Enligt eIDAS-förordningens artikel 6 ska mottagande medlemsstat acceptera avsändande statens tillitsnivå, som kommer att vara väsentlig eller hög. En koppling till ett personnummer får inte förändra avsändande stats klassificering av tillitsnivå och klassificeringen avser enbart den information avsändande stat ansvarar för. Det är därför vilseledande att tala om tillitsnivå när det gäller kopplingen som avser tilläggsinformation som Sverige tillför. Om det finns behov av att uttrycka någon form av nivå i kopplingen mellan det svenska personnumret och den utländska e-legitimationen bör ett annat begrepp än ”tillitsnivå” användas.

6.2 Koppling till styrkt samordningsnummer

DIGG instämmer i bedömningen att grundidentifieringen inte är tillräcklig idag och att det för närvarande inte är lämpligt att skapa en koppling mellan en utländsk eID-handling och en individs styrkta samordningsnummer. DIGG vill dock understryka att detta måste lösas eftersom behovet är stort för personer som idag saknar svenskt personnummer.

6.3.2 Noden förmedlar uppgift om koppling

DIGG bedömer att det går att genomföra förslaget. DIGG ser ändå att det föreslagna sättet att förmedla kopplingen måste förtydligas.

Den utländska eIDAS-noden skickar det utländska identitetsintyget till den svenska eIDAS-noden. Vid legitimering med en utländsk e-legitimation är det avsändande stat som är ansvarigt för den kontroll av personens identitet som utförts. Den svenska eIDAS-noden är en transporttjänst som endast förmedlar det utländska identitetsintyget till den svenska e-tjänsten. Det unika identitetsbegreppet som den avsändande staten skickar, är det som utgör informationen som styrker användarens identitet.

Om den föreslagna lösningen uppfattas som om den svenska eIDAS-noden kompletterar det utländska identitetsintyget med ett svenskt personnummer är det rimligt att anta att e-tjänsten kommer att uppfatta personnumret som det ID-begrepp som identifierar användaren. Vilka uppgifter ett identitetsintyg ska innehålla är definierat enligt genomförandeförordning 2015/1501 artikel 11 och dess bilaga. Den föreslagna kompletteringen är en utökning av information som inte är en del av det identitetsintyg som avsändande medlemsstat ansvarar för. Det är av stor vikt att tydliggöra att kompletteringen med ett svenskt personnummer från kopplingsregistret är en komplettering som görs av den svenska eIDAS-noden.

Den svenska eIDAS-noden kompletterar visserligen redan identitetsintyget med nya begrepp, exempelvis persistensklassning och provisionalID, ett ID-begrepp som skapas på matematisk väg. Anledningen till detta är att det tekniskt sett ska vara enklare att hantera och enklare att visa upp för slutanvändaren, än de ID-begrepp vissa stater kommer sända. Att i den svenska eIDAS-noden komplettera det utländska identitetsintyget med ett svenskt personnummer bedömer DIGG emellertid skapar otydlighet i vad som är att betrakta som identitetsintygets ID-begrepp.

Ett alternativ till förslaget i utredningen är att istället utforma kompletteringen med personnummer som en fråga efter kompletterande attribut. Detta skulle kunna göras av e-tjänsten direkt mot kopplingsregistret utan inblandning av den svenska eIDAS-noden. Ett annat alternativ är att fråga ett attributsregister som DIGG eller någon annan myndighet får i uppdrag att tillhandahålla. En sådan lösning kan fungera som en standard för hur komplettering med andra attribut skulle kunna ske (exempelvis behörighetsstyrande rollattribut).

6.4.1 Tvåstegsprocess med personlig inställelse

DIGG anser att kravet på en fysisk inställelse i Sverige kan upplevas som komplicerad och inte användarvänlig vilket kan motverka användningen av den här lösningen.

6.6.4 Utlämnande

Om förslaget att eIDAS-noden kompletterar det utländska identitetsintyget genomförs instämmer DIGG i förslaget. Om lösningen istället blir att slagningen mot kopplingsregistret sker i e-tjänsten ser DIGG inget behov av åtkomst till uppgifterna (annat än för egna e-tjänster).

6.6.7 Uppgifternas livscykel och gallring

DIGG anser att förslaget om gallring bör utredas närmare. Föreslagen gallring kommer att kunna medföra att spårbarheten av legitimationskontrollen förloras.

6.7.3 Registrering av koppling vid utlandsmyndigheter som är passmyndigheter

Enligt förslagen i ID-kortsutredningen ska utlandsmyndigheterna kunna utfärda pass och statlig e-legitimationer. DIGG noterar att den här utredningen och ID-kortsutredningen har olika uppfattningar om utlandsmyndigheternas möjlighet att delta i identifieringsprocessen.

6.8.2 Bilaterala överenskommelser

DIGG vill påtala att arbetet inom NOBID-projektet pågår. Vilka lösningar och överenskommelser som blir resultatet av samarbetet är i dagsläget inte klart.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också, tjänsteområdesansvarig Lotta Hämäläinen, senior rådgivare Annika Bränström, IT-strateg Roger Fagerud, jurist Philip Levin och chefsjuristen Linn Kempe deltagit. Föredragande har varit tjänsteområdesansvarig Lotta Hämäläinen.

Datum: 19 augusti 2019

Dnr: 2019:104

Publicerad
18 Aug 2019