student

En underlig konflikt över Skatteverkets tjänst Mina Meddelanden kan få stora konsekvenser för hur e-legitimation kan användas i Sverige.

Sunet, som kopplar samman universiteten och högskolorna, har stängts av från tjänsten eftersom Skatteverket anser att de bryter mot reglerna. Myndigheten hävdar att Sunet använder Bank-id för att genomföra en id-växling, något som inte är tillåtet.

När någon som aldrig studerat förut vill söka in till högskolan kan denne använda e-legitimation för att skapa ett konto. Men här går åsikterna isär.

Läs också: Floppvarning för den svenska e-legitimationen. ”Säkerheten håller inte.”

Sunet menar att de bara använder Bank-id för att bekräfta att rätt person knappat in rätt personnummer. Det kan man göra genom att logga in på tjänsten Mina Meddelanden.

Men här har de stött på patrull – från Swedbank. Banken har anmält inloggningsförfarandet till Skatteverket eftersom de anser att det är en id-växling som äger rum, det vill säga att man använder e-legitimation för att skapa ett konto hos en tredje part. Ungefär som när du loggar in på Pinterest med ditt Facebook-konto.

Skatteverket har nu gått på Swedbanks linje och stänger av Sunet från sina tjänster.

För blivande studenter betyder det till en början att då måste få koder på post för att kunna skapa sina konton. Men Sunet menar att Skatteverkets beslut kan få större konsekvenser.

– Vi tycker att det är ganska oroväckande faktiskt. Dels är vår tolkning av regelverket att vi inte brutit mot något. För det andra är det fel väg framåt att en privat aktör ska diktera villkoren för vad en myndighet sänder för information till en medborgare, säger Sunets föreståndare Maria Häll.

Läs också: Nu måste skolorna bli bättre på att skydda elevernas personuppgifter på nätet

– Vi ser med oro på utvecklingen av e-förvaltningen i större sammanhang. ID-växling och hur man använder olika tjänster, det är så internet funkar i dag – man använder till exempel sitt Google-konto för att logga in på Linkedin. Flexibilitet mellan olika tjänster, oberoende av ID-utfärdare. Om den här tolkningen blir praxis för framtida e-förvaltning tror jag att man är på fel väg.