Ännu ett förslag på en statlig e-legitimation

2023-03-30
Det är få saker som är så viktiga för digitaliseringen som e-legitimering samtidigt som det också har utretts kanske mer än något annat utan att det har givit önskvärda resultat. Det finns ett utanförskap som riskerat att bestå med det förslag till statlig e-legitimation som DIGG presenterade i januari.

 

E-legitimering är så självklart, men ändå så förändringströgt är rubriken på en krönika från sommaren 2020 som summerade tidigare initiativ och reflekterade över utredningen Ett säkert statligt ID-kort – med e-legitimation (SOU 2019:14). Jag konstaterade då, och har fortsatt samma uppfattning, att det är en väldigt förändringströg materia som inbegriper en rad starka viljor i olika riktningar.

I juni 2022 offentliggjorde regeringen två nya uppdrag till DIGG, det ena var hur en statlig e-legitimation kan utformas, det andra om e-identitetsplånböcker.  I december 2022 sjösattes Utredningen om en säker och tillgänglig digital identitet (I 2022:04) som tar vid efter DIGG:s uppdrag för att utreda och lämna förslag på hur staten kan utfärda en e-legitimation på högsta tillitsnivå. I januari 2023 slutredovisade DIGG sitt uppdrag med skrivningen En säker och tillgänglig statlig e-legitimation (I2022/01335).

Jag gillade spontant det jag läste i DIGG:s sammanfattning i rapporten! Äntligen speglades en bild som inte var så långt från den bild jag under många år målat upp. Men, det finns ett men. DIGG:s skrivelse är tyvärr inte tillräckligt bottnad och för inte utvecklingen tillräckligt mycket framåt.

Det finns ett förslag om att e-legitimationer inte får utfärdas till den som är yngre än 13 år med bland annat lagen (2015:899) om id-kort för folkbokförda i Sverige som referens och det uttrycks att behovet för yngre inte är så stort. Nästa år ser digitala nationella prov (DNP) dagens ljus och en av utmaningarna med DNP är just e-legitimering.  Åldersgränsen på 13 år skapar ett helt onödigt utanförskap för en stor grupp individer som kan bemyndigas med pass, men som enligt förslaget inte är betrodda med en e-legitimation.

Det är också tämligen intressant att den myndighet som stipulerar reglerna för en Svensk e-legitimation, granskar densamma, nu också ska ikläda sig rollen som utfärdare. Det görs försök i skrivningen att lugna den oroliga läsaren men det är bara att inse att rollerna inte går att förena. Efter att ha arbetat i decennier med e-legitimeringsfrågan och vet vikten av att separera roller, intressen och ansvar råder det inte några tvivel om det olämpliga. Jag tycker att DIGG genom åren har hanterat sitt uppdrag kring e-legitimering och federering väldigt väl och jag vill verkligen inte att det äventyras.

Noterbart är att det finns en etablerad statlig utfärdare av e-legitimation som är granskad och godkänd av DIGG på tillitsnivå 4 som med små medel även kan tillhandahålla en infrastruktur för privat anskaffade e-legitimationer. Varför är inte det alternativet utrett? En annan huvudman än DIGG tycker jag absolut är tänkbart.

Angående bäraren av e-legitimationen finns det idag nationella id-kort utfärdade av Polisen och id-kort utfärdade av Skatteverket som kan användas som bärare av e-legitimationen. Det fanns resonemang kring Polisens lösning i skrivelsen men Skatteverkets lösning med e-legitimationen AB Svenska Pass på tillitsnivå 4 lämnades därhän med tolkningen att Skatteverket inte är en utpekad part i DIGG:s regeringsuppdrag och att det inte är i denna riktning regeringen har avsett att utvecklingen av en statlig e-legitimation ska ske. Det tycker jag var en väl långtgående slutsats. Det ska sägas till DIGG:s försvar att de öppnar upp för en framtida möjlighet att den statliga e-legitimationen kan tillåtas på fler bärare än det kontaktlösa kortet som föreslås. Jag är förövrigt inte helt övertygad om att det kontaktlösa kortet bidrar till att minska utanförskapet. Jag hoppas att jag har fel då tanken trots allt är lite utmanande.

Jag är glad att lösningen är tänkt att realiseras med öppna standarder, med ett inkluderande synsätt som grund och att den medger id-växling. Kring id-växling finns det dock en utmaning runt hörnet. Den statliga e-legitimationen kan enbart id-växlas till e-legitimationer på tillitsnivå 3 eller lägre, enligt DIGG:s tillitsramverk. Samtidigt ser vi en rörelse mot kvalificerade elektroniska underskrifter som ställer krav på eIDAS tillitsnivå hög, motsvarande DIGG:s tillitsnivå 4. Dock tillåts inte id-växling på tillitsnivå 4 enligt DIGG:s tillitsramverk. Om DIGG är utfärdare, ansvarar för regelverket och ansvarar för granskningen känns det lite magstarkt att hitta nya vägar fram här. Det är betydligt mer trovärdigt om DIGG inte sitter på alla stolar samtidigt. Om DIGG ikläder sig rollen som utfärdare är det högst rimligt att PTS tar över ansvaret för det svenska tillitsramverket och ansvaret för tillsyn i likhet med ansvaret PTS har för betrodda tjänster.

Det är också rimligt att i större grad återanvända en rad statliga, regionala och kommunala investeringar som gjorts kring e-legitimering för att undvika att vi flyttar äggen från en korg till en annan och inte minst viktigt för att dra fördel av alla befintliga, och möjliga, utfärdandekontor runt om i vårt avlånga land. En begränsning till en myndighet som ansvarar för utfärdande bidrar inte till att minska utanförskapet.

Sist, men absolut inte minst, det måste ställas regulatoriska krav på att alla myndigheter, regioner, kommuner och offentligt finanseriade verksamheter konsumerar alla av DIGG, eller PTS, godkända e-legitimationer i sina e-tjänster. Den valfrihet som råder på det här området idag är helt orimlig och bidrar inte till den mångfald av e-legitimering som digitaliseringen så väl behöver.