(e)IDAS sommarvisa

2017-06-30
Vi närmar oss i snabb takt den 18:e September 2018, vilket är datumet då eIDAS-förordningen effektueras. Dagen då digital samverkan tar nästa steg mellan EU:s medlemsstater samt andra icke-medlemssstater som tecknat avtal med EU. Stora delar av EU håller som bäst på att göra sig redo för eIDAS, är din organisation redo att ta sig an utmaningarna samt är rustad att dra fördelar av de positiva effekter som eIDAS medför?

I och med att två tyska e-legitimationer annonserades mot eIDAS lista över betrodda e-legitimationer, vid sidan om en växande skara andra betrodda och kvalificerat betrodda tjänster, ställer det krav på andra medlemsstater att erkänna dessa tyska e-legitimationer från och med den 18:e September nästa år, samt självklart alla andra e-legitimationer som annonseras som betrodda över tiden.

Själva grundtanken går ut på att EU-invånare med en e-legitimation utgiven i hemlandet ska kunna använda sig av denna vid användning av e-tjänster i andra EU-anslutna länder och icke EU-medlemsstater som tecknat avtal med EU om anslutning till eIDAS. Detta under förutsättning att e-legitimationen möter kraven för en av eIDAS tre tillitsnivåer, low, substantial och high, samt att utfärdaren annonserat e-legitimationen som betrodd på en viss tillitsnivå via det egna landets organ som hanterar eIDAS-anslutningar av e-legitimationer och/eller andra tjänster.

Exempel på sådana tjänster är bolagsregistrering i annat land, åtkomst till underskriftstjänster för att digitalt underteckna avtal, registrering av fordon m.m. För åtkomst till tjänster ska EU-invånare inte behöva skaffa sig en e-legitimation från det land man avser nyttja tjänster i, en e-legitimation från hemlandet räcker under förusättning att denna e-legitimation är av tillräcklig kvalitet samt är annonserad som betrodd mot andra EU-medlemsstater.

Exempel på frågor som aktualiseras som ett resultat av eIDAS är:

  • Hur ska en svensk organisation hantera sin anslutning?
  • På vilket sätt behöver man förändra sin användning av digitala underskrifter?
  • Vad är det för skillnad på en betrodd tjänst kontra en kvalificerat betrodd tjänst?
  • Vilka krav på revision ska man leva upp till?
  • På vilket sätt möter det svenska tillitsramverket för svensk e-legitimation kraven för de tillitsnivåer som eIDAS använder sig av?
  • Måste man göra en ny revision av en e-legitimationsutfärdare som redan är godkänd utfärdare av svensk e-legitimation?
  • Vad innebär kravet på att myndigheter måste kunna acceptera en utländsk e-legitimation i erbjudna e-tjänster?
  • Hur ska man se på identifieringsbegrepp för utländska personer?

 

Denna krönika syftar inte till att besvara samtliga frågor utan snarare lyfta fram att det inte nödvändigtvis behöver vara så komplicerat som en och annan skräckannonsör skulle vilja göra gällande. Dock finns det i vanlig ordning en rad fallgropar och vår erfarenhet av marknadens mognadsgrad lämnar en hel del att önska. Med tanke på att det är en del pusselbitar som ska landa så är det av högsta vikt för alla som berörs att nu lägga eIDAS-pusslet.

I Sverige erbjuds anslutning till eIDAS via en landsnod som tillhandahålls av E-legitimationsnämnden. Den tekniska anslutningen håller sig inom ramarna för de tekniska specifikationer som E-legitimationsnämnden tidigare tagit fram för sin identitetsfederation. Det ska i sammanhanget nämnas att anslutningsgraden hittills varit försumbar och det faktum att BankID valt att stå utanför väcker så klart viss förundran, men ämnet som sådant har under åren varit kantad av förundran så det i sig är inget nytt.

Sedan ett tag tillbaka pågår ett omtag kring svensk e-legitimation, vilket är en separat fråga utifrån vad denna krönika handlar om, dock får e-legitimationsnämnden en central roll när det gäller anslutning till eIDAS, både för de organisationer som utfärdar svensk e-legitimation och önskar ratificera denna mot eIDAS samt organisationer som erbjuder e-tjänster som ska kunna konsumera andra länders e-legitimationer.

Undertecknad betraktar sig själv som en vän av digitala underskrifter, och jag tror faktiskt att detta är den typ av tjänst som har störst potential inom ramarna för eIDAS.

Förvirringen i denna fråga är dock stor, exempelvis när det diskuteras hur eIDAS påverkar användning av klassiska ”old school”-underskrifter där man gör sig beroende av att klienten med tillhörande nyckelbärare agerar signeringsanordning. Här önskar jag verkligen trycka på att blicken lyfts för att undvika framtida problem. Alla ni som reagerade på att Skatteverket detta år förändrat underskriftsförfarandet i samband med e-deklarationen vet säkert vad jag menar. Alla andra är mer än välkomna för en diskussion om hur man bör se på digitala underskrifter nu och i framtiden. Inte minst om man tänker sig erbjuda utländska medborgare möjlighet till digitala underskrifter utan att behöva ställa ut en svensk e-legitimation till dessa.

(melodi Idas sommarvisa)

Du ska inte tro det blir säkert
Ifall inte nån ställer krav
På saker som är lite jobbigt
Då kommer konsulterna snart
Jag gör så att data signeras
Och jag vet då ju vem som är vem
För nu så har kraven ju kommit
Jag är eIDAS min vän!

Glad sommar!!