Sverige, övriga Norden och Estland är förmodligen de länder i världen som ligger längst fram i utvecklingen och den allmänna tillämpningen av e-legitimationer. I Sverige har Bank-id blivit så gott som synonymt med e-legitimationer, även om det finns uppstickare, och införandet av e-legitimationer som metod för säker identifiering och inloggning har revolutionerat hur vi använder tjänster som kräver pålitlig identifiering av användarna.
EU:s förordning Nr 910/2014, allmänt känt som Eidas-förordningen, införs som lag den 29 september. Förordningen är ett initiativ inom EU syftande till att knyta samman de olika systemen för e-legitimationer inom unionen, så att till exempel en svensk medborgare ska kunna identifiera sig och använda tjänster hos ett annat EU-lands myndighet, och vice versa.
Tanken är att göra det smidigare för medborgarna att utföra sina myndighetsärenden i alla EU-länder, men hindren, och förvisso farhågorna, är fortfarande många, och vägen är förmodligen lång tills visionen blir vardag för medborgarna. För privat sektor är Eidas frivilligt.
Läs också: Så har it-politiken lyckats – kompetensbristen en ödesfråga
– Eidas innebär att svenska myndigheter, kommuner och landsting måste erkänna inloggning med utländska e-legitimationer i de e-tjänster de har, där man loggar in med en e-legitimation. På inloggningssidan i anslutning till e-tjänsten måste det då finnas möjlighet att välja ”Foreign e-id” som inloggningsalternativ, säger Inger Greve, kommunikatör på nystartade Myndigheten för digital förvaltning, Digg.
Varje land garanterar sina identiteter
För att kunna ta emot trafik från utländska e-legitimationer krävs också att myndigheter, kommuner och berörda leverantörer har anslutit sig till Sweden Connect, vilket är samlingsnamnet för den nationella Eidas-nod och det aktörsregister som Sverige upprättat och som administreras av Digg
Eidas berör inte behörighetsfrågan, alltså vilka tjänster som finns att tillgå för utländska medborgare, utan endast att offentliga e-tjänster ska hantera alla Eidas-godkända e-legitimationer.
– I praktiken kommer det att innebära att många e-tjänster inte går att använda eftersom många svenska e-tjänster är byggda för att användarna ska ha ett svenskt personnummer, vilket inga utländska e-legitimationer har, säger Inger Greve.
Tanken med Eidas är inte att de olika länderna ska enas om ett gemensamt sätt att identifiera en person, det skulle vara närmast hopplöst med tanke de olika tekniska standarderna och kulturella skillnader. Exempelvis är det endast cirka hälften av EU-länderna som har ett påtvingat personidentitetsbegrepp. I vissa länder byter du identitet om du byter id-utfärdare. Istället är tanken att de olika länderna ska definiera sina respektive personidentitetsbegrepp och stå som garant för att personidentitetsbegreppet pekar på en unik person.
För att detta ska fungera måste dels varje EU-land godkänna inhemska e-legitimationer, dels publicera dessa i EU:s Eidas-databas över godkända e-legitimationer efter att de genomgått en så kallad peer-review-process på minst ett år. När processen är i mål måste alla EU:s myndigheter, som använder e-legitimation för inloggning, hantera den godkända e-legitimationen. I Sverige sker detta genom det uppdrag som tilldelats E-legitimationsnämnden, som numera ingår i Digg.
Svalt intresse från Bank-id
Trots att reglerna nu trätt i kraft finns inga e-legitimationer godkända och klara, men flera länder är nära, bland annat Italien, Tyskland och Estland. Sverige har hittills inte anmält någon e-legitimation, men närmast på tur ligger Freja eID+ från Verisec. Bank-id verkar måttligt intresserade.
När IDG frågar Finansiell ID-teknik (som ger ut Bank-id) om deras planer för Eidas svarar Malin Wemnell, administrativ chef, att de ”ännu inte fått någon förfrågan om att svenska staten vill anmäla Bank-id som ett anmält eID-system enligt Eidas, men vi förutsätter att det kommer att bli aktuellt framöver och ser positivt på det.”
Läs också: Jurister varnar: tjänster missbrukar mobilt bank-id
Men E-legitimationsnämnden kan inte agera utan att Bank-id tar det första steget, och som det ser ut idag verkar Bank-id helt enkelt inte kompatibelt med Eidas. En stötesten för Bank-id är sannolikt att deras användarlicens inte tillåter så kallad id-växling, det vill säga att en användare kan skaffa en e-legitimation genom att identifiera sig med en annan e-legitimation, vilket Eidas-förordningen kräver.
Ett annat problem kan vara att Eidas överhuvudtaget inte tagit höjd för betalningar för identitetstransaktioner över landsgränserna. I ett fåtal länder inklusive Sverige och Italien, där staten överlåtit leveransen av e-legitimationer åt marknaden, kan det ställa till problem. Oavsett licensmodell behöver aktörerna ta betalt, och den infrastrukturen finns inte. För statliga e-legitimationer är man överens inom Eidas att inte ta betalt.
Malin Wemnell på Bank-id säger att ”det finns idag skillnader mellan regelverk för användning av e-legitimation i Sverige och Eidas, och dessa skillnader ser vi kommer hanteras i dialog mellan oss och Digg innan svenska staten kan anmäla Bank-id som eID-system enligt Eidas-förordningen.”
