Frågan om olika identiteter är inte löst

Ett annat problem inom Eidas är att personidentitetsbegreppet inte är vattentätt. Johan Henriksson, vd för e-legitimationsleverantören Verisec, är inte nöjd med hur det ser ut i verkligheten.

Johan Henriksson
Johan Henriksson, Verisec.

– Personidentitetsbegreppet är ett jättestort problem, att flera e-id i flera olika länder måste kunna peka på samma person, det är vi inte ens i närheten av, säger han.

Även Inger Greve är böjd att hålla med. Att en och samma person, med hjälp av olika e-legitimationer från olika länder, kan agera med olika personidentitetsbegrepp är ett problem som ännu inte är löst.

– En person kommer att kunna ha flera identitetsbegrepp, ett för varje land. Eidas erbjuder inget stöd för att lösa de problem det kan medföra. Inte heller finns något stöd för att hantera att en person kan ha olika namn i olika länders register. Hur varje ägare av en e-tjänst (förlitande part) ska hantera detta är därmed upp till dem.

Läs också: Skatteverket varnar för andrahandsinloggning – uppgifter om 140 000 personer läckta

I de fall en svensk medborgare har en utländsk e-legitimation är tanken att Skatteverket ska tillhandahålla ett register som mappar utländskt e-id till svenskt personnummer eller samordningsnummer. I de fall en utländsk medborgare behöver använda en tjänst som kräver svenskt personnummer är det upp till myndigheten som tillhandahåller tjänsten att begära ett samordningsnummer från Skatteverket om de finner det befogat. Implementationen av registret är inte färdigt på långa vägar, bland annat krävs lagändringar innan så kan ske.

EU-kommissionens referensimplementation

Inom ramen för Eidas har EU-kommissionen tagit fram en referensimplementation som ska fungera som ett rättesnöre för de individuella nationerna när de utvecklar sina nationella implementationer. EU-kommissionens referensimplementation har dragit på sig viss kritik; källor till IDG menar att den tekniskt sett är onödigt komplex.

Inger Greve på Digg vill inte spä på kritiken, utan menar istället att kritiken snarare handlar om EU-kommissionens programvara. Inte heller Sverige har fullt ut följt EU-kommissionens referensimplementation.

– Vårt vägval beror på att vi bedömt det som bättre att vi centralt tar de utvecklingskostnader som beror på svårigheter att följa Eidas-tekniska specifikationer, än att de ska hanteras av varje enskild myndighet eller kommun. Vi har av det skälet utvecklat en egen programvara som gentemot andra länder följer Eidas-specifikationerna, men i Sverige följer samma tekniska ramverk som används nationellt och som organisationer med e-tjänster redan använder. Vi är inte ensamma om det beslutet. Danmark och England har valt samma väg och fler länder börjar fundera i liknande banor, säger Inger Greve.

Johan Henriksson på Verisec håller med om att referensimplementationen inte är optimal, men har även förståelse för frågans komplexitet.

– Det första arbetet som gjordes är inte alla nöjda med. Men jag håller också med om att det är ”work in progress”, det är en handfull länder som har publicerat sina e-legitimationer, och när man sätter saker i produktion så märker man var det fallerar, men problemen kommer slipas bort med tiden.


Stödjer du SAML2 är hälften vunnet

För att skapa en infrastruktur för den paneuropeiska e-legitimationstrafiken behöver varje land implementera en så kallad Eidas-nod. Sverige är det E-legitimationsnämnden som ska implementera och driva den svenska noden Sweden Connect som finansieras med statsanslag.

Förutsättningarna för svenska offentliga organisationer att följa Eidas är mycket goda för dem som redan följer den nationella svenska identitetsfederationen Svensk e-legitimation, och goda även för dem som följer federationsstandarden SAML2. Eidas i sig följer SAML2 vilket medför att de behörighetsfederationer som följer SAML2 har goda förutsättningar. Detta gäller till exempel inom vård och omsorg (Sambi) och utbildningsväsendet (Swamid).

Läs också: Google och Arbetsförmedlingen ska lära folk om sociala medier och e-leg

– Många myndigheter och kommuner kommer med största sannolikhet vara klara men implementeringen varierar nog. EU-förordningen är överordnad svensk lag, så den myndighet/kommun som inte anpassat sina e-tjänster till förordningen kommer att begå ett lagbrott. Det finns ännu inga svar på vad som kommer hända om man inte uppfyller kravet, men det är ett lagbrott, säger Inger Greve.

Eidas är sammantaget ett klart fall framåt, men än återstår mycket arbete innan visionen blir verklighet. De som hade hoppats på att kunna hantera europeiska myndighetsärenden med sin e-legitimation får förmodligen vänta ett par år till.

E-legitimationsnämnden, som numera ingår i myndigheten Digg, har mer information om Eidas här.