Martin Lindström edited this page Sep 19, 2018 · 10 revisions

Introduktion till eIDAS

Vad är eIDAS?

EU:s regler för elektronisk identifiering och betrodda tjänster över landsgränserna kallas i dagligt tal för ”eIDAS”. Reglerna är beslutade i förordning (EU 910/2014) och gäller därmed som lagstiftning i EU:s medlemsländer. Norge, Island, Lichtenstein och Schweiz har skrivit avtal om att också få ingå. EU-förordningen har ett beskrivande namn som är mycket långt och har därför fått det informella namnet eIDAS. Även införandet av förordningen kallas i dagligt tal för eIDAS. EIDAS-förordningen innehåller tre delar:

  • regler för elektronisk identifiering över landsgränserna,
  • regler för betrodda tjänster över landsgränserna,
  • en rättslig ram för betrodda tjänster.

Elektronisk identifiering enligt eIDAS

Varje land får, i samverkan med sina e-legitimationsutfärdare, välja om de vill anmäla sina e-legitimationer till EU för att möjliggöra inloggning i andra länders digitala tjänster. Landet väljer vilken målgrupp som ska få tillgång till dessa e-legitimationer.

Genom att anmäla e-legitimationen enligt eIDAS går landet i god för att en viss e-legitimation, och e-legitimationens personidentitetsbegrepp, kan spåras till endast en individ (eller, på sikt, en organisation).

E-legitimationerna kan vara på tillitsnivå ”låg”, ”väsentlig” och ”hög”, enligt eIDAS. Nivån ”väsentlig” motsvarar tillitsnivå 3 enligt tillitsramverket för Svensk e-legitimation medan nivå ”hög” är något lägre än tillitsnivå 4 i Sverige. Från den 29 september 2018 blir det enligt lag obligatoriskt för offentliga myndigheter att erkänna utländska e-legitimationer på tillitsnivå ”väsentlig” och ”hög” enligt eIDAS. Kravet omfattar de e-tjänster som inom landet erkänner e-legitimationer på minst samma tillitsnivå.

Att erkänna en utländsk e-legitimation på samma villkor som en svensk e-legitimation (t.ex. Mobilt BankID eller Telia) betyder inte automatiskt en skyldighet för myndigheten att låta en individ få ta del av känslig information eller utföra ärenden i e-tjänsten. eIDAS har tillkommit för att underlätta ambitionen ”digitalt först”, men sådana rättigheter och skyldigheter styrs av andra lagar och regler.

E-legitimationstrafiken (autentiseringarna) mellan länderna hanteras med hjälp av landsnoder. E-tjänsten (förlitande part) skickar begäran om identitetsintyg till det egna landets eIDAS-nod, som förmedlar vidare till det av användaren valda e-legitimationslandets nod som i sin tur förmedlar vidare till vald e-legitimationsutfärdare för autentisering. Identitetsintyget går motsvarande väg tillbaka igen. Sidan för Arkitekturöversikt beskriver detta ytterligare.

Mellan landsnoderna används SAML 2.0 enligt eIDAS specifikation, men varje land beslutar om vilka tekniska metoder och tekniker som ska användas inom landet. Detta gäller även för trafik över landsgränsen enligt eIDAS.

I Sverige är det Myndigheten för Digital förvaltning (DIGG) (tidigare E-legitimationsnämnden) som har fått regeringens uppdrag att tillhandahålla en landsnod, dvs. en central kopplingspunkt för elektronisk identifiering över landsgränsen, och ge vägledning till offentliga myndigheter. Offentliga myndigheter står i fokus till följd av obligatoriet den 29 september 2018.

Vissa utökningar till Tekniskt ramverk har utförts för att svenska myndigheter ska kunna använda det i kommunikationen med den svenska eIDAS-noden.

Identitetsintygets innehåll

Varje identitetsintyg måste enligt eIDAS innehålla åtminstone:

  • PersonIdentifier (se "Personidentitetsbegrepp" nedan)
  • För- och efternamn
  • Födelsedatum

Dessa uppgifter utgör obligatoriska attribut i det eIDAS benämner ”minimum dataset”. Dessutom tillkommer följande frivilliga attribut såsom:

  • Födelseort
  • Adress
  • Kön

För identitetsintyg avseende organisationer finns en liknande uppsättning ”minimum dataset”.

För detaljer, se eIDAS SAML Attribute Profile.

Svenska e-tjänster behöver dock inte förhålla sig direkt mot eIDAS attributuppsättning. Den svenska eIDAS-noden kompletterar intyg med motsvarande attribut som är definierade i Tekniskt ramverk. Nedan beskrivs hur eIDAS-identiteter hanteras inom Sweden Connect federationen.

Personidentitetsbegrepp

Personidentitetsbegreppet i det utländska identitetsintyget är unikt och pekar på endast en individ. Däremot kan en individ med flera e-legitimationer ha flera olika personidentitetsbegrepp. Personidentitetsbegreppet inom eIDAS inleds med e-legitimationslandets landskod, följt av landskoden för mottagarlandet och avslutas med en identitetsträng.

Tekniskt ramverk har utökats med ett attribut, Provisional ID, som svenska e-tjänster bör använda som användar-ID för utländska personer. Detta attribut, tillsammans med attributet "Provisional ID persistence" beskriver för svenska e-tjänster hur pass bestående (persistent) ett visst identitetsintygs personidentitetsbegrepp är. Läs mer om detta i Attribute Specification for the Swedish eID Framework.

Vissa svenska e-tjänster har lagstadgade krav på att användaren ska ha svenskt personnummer eller fastställt samordningsnummer. Parallellt med E-legitimationsnämndens/DIGG:s arbete ser Skatteverket på regeringens uppdrag över möjligheten att koppla det utländska identitetsintygets personidentitetsbegrepp till befintliga svenska personnummer och fastställda samordningsnummer. Under vissa förutsättningar kan det i så fall bli aktuellt för den svenska kopplingspunkten att bistå förlitande part med sådan uppgift och identitetsintyget skulle i dessa fall kunna motsvara nationella identitetsintyg till sitt innehåll.

Regeringen utreder svenskars möjligheter utomlands, inklusive frågan om huruvida den eIDAS-stadgade rättigheten till pseudonym ska användas för svenska personnummer vid svenskars e-legitimering i utländska e-tjänster.

Betrodda tjänster enligt eIDAS

En betrodd tjänst är en elektronisk tjänst som består av rutiner för elektroniska

  • underskrifter,
  • stämplar,
  • tidstämplar,
  • tjänster för rekommenderade leveranser, och,
  • certifikat för autentisering av webbplatser.

En betrodd tjänst tillhandahålls vanligen mot ekonomisk ersättning. Rutinerna består av skapande, kontroll, validering och bevarande.

Den rättsliga ramen för betrodda tjänster innehåller en viktig regel om att en underskrift inte får förvägras rättslig verkan enbart för att den är elektronisk. En underskrift kan vara avancerad eller kvalificerad. EIDAS-förordningen innebär en skyldighet för offentliga organ att under vissa förutsättningar acceptera avancerade och kvalificerade e-underskrifter. Kvalificerade elektroniska underskrifter ges samma rättsliga verkan som egenhändiga namnteckningar.

Sveriges riksdag har med anledning av eIDAS-förordningen den 2 juni 2016 gjort följdändringar (prop. 2015/16:72) av svensk författning och bl.a. ändrat ordet ”signatur” till ”underskrift” i svenska lagar, och genom lag (2016:561) upphävt signaturlagen (2000:832). Ändringarna trädde i kraft den 1 juli 2016, samtidigt som förordningens regler om betrodda tjänster började gälla.

I Sverige är det Post- och telestyrelsen som har ansvar för tillsyn och vägledning för betrodda tjänster. Läs mer om betrodda tjänster på PTS hemsida.

E-underskrifter

Svenska offentliga myndigheter och företag med behov av e-underskrifter i digitala tjänster (e-tjänster) är inte bundna till att hänvisa varken utländska eller inhemska användare till betrodda tjänster enligt eIDAS. I de digitala tjänsterna finns fortfarande möjligheten att låta användare som loggar in med Mobilt BankID, BankID eller Telia skriva under på det sätt vi hittills vant oss vid i Sverige.

När en användare i framtiden loggar in med en SAML 2.0-baserad e-legitimering (identitetsintyg enligt eIDAS eller inom Sverige) fungerar inte det befintliga underskriftsättet i e-tjänsterna, vare sig över landsgränsen eller inom Sverige. E-legitimationsnämnden bedömer att s.k. federerade underskrifter fungerar bäst i dessa fall.

En federerad underskrift utförs på följande sätt:

  1. Förlitande part (SP) frågar användaren om denna vill skriva under skickar därefter en begäran till sin underskriftstjänst.

  2. Underskrifttjänsten kontrollerar och skickar en ”begäran om legitimering för underskrift” till legitimeringstjänsten (IdP:n, t.ex. den svenska eIDAS-landsnoden).

  3. Legitimeringstjänsten autentiserar användaren för underskrift och skickar ett identitetsintyg tillbaka.

  4. Underskrifttjänsten kontrollerar intyget, skapar en hash och återkopplar till förlitande part.

  5. Förlitande part skapar undertecknad handling.

Denna underskrifthantering är inte (ännu) en del av eIDAS regelverk men flera andra länder har planer på att göra likadant. På så sätt kan behov av redan underskrivna dokument från utlandet hållas till önskad nivå.

You can’t perform that action at this time.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session.
Press h to open a hovercard with more details.