Tillitsregler för Valfrihetssystem 2018 E-legitimering

1. Anvisningar

Leverantör skall uppfylla samtliga krav i detta dokument. I den mån leverantören träffat ett avtal med Digg utvisande att de e-legitimationer som ligger till grund för Identitetsintyg uppfyller tillitsnivå 3 eller högre enligt regelverk för Svensk e-legitimation (se www.elegnamnden.se/Leverantör, Regelverk, Tillitsramverk Bilaga B) ersätter sådant avtal skyldigheten att följa de tillitsregler som anges i detta dokument.

Samma definitioner som används i huvuddokumentet, Regelverk Valfrihetssystem 2018 E-legitimering, används i detta dokument.

2. Tillitsregler för utfärdare

I den mån Leverantör är utfärdare av e-legitimationer gäller nedanstående krav. I den mån Leverantören inte är utfärdare av e-legitimationer svarar Leverantören för att utfärdaren uppfyller nedanstående krav:

(i) att utfärdaren är en registrerad juridisk person,

(ii) att utfärdaren arbetar efter ett etablerat ledningssystem för informationssäkerhet,

(iii) att etablerade marknadskrav och krav från myndigheter uppfylls såvitt avser säkerhet, arkivering, revision och kontinuitet vid eventuell avveckling av tjänsten, och

(iv) att handlingar rörande utställda e-legitimationer arkiveras i minst 10 år.

3. Rutiner vid ansökan om e-legitimation

Då Användare ansöker om en e-legitimation ska något av följande förfaranden tillämpas:

(a) Ansökan som sker i pappersform ska vara undertecknad av sökanden och omfatta intyg att de uppgifter som lämnats i ansökan är riktiga och fullständiga. Identifiering av sökanden ska innefatta att sökanden inställer sig personligen motsvarande de krav som ställs avseende ansökan om SIS-godkänd identitetshandling.

(b) Har sökanden tidigare identifierats på sätt som anges i alternativ (a) ovan och är sökanden redan kund avseende ekonomiska eller andra rättsligt betydelsefulla mellanhavanden med utfärdaren kan ansökan ske elektroniskt. Den elektroniska ansökningsrutinen får inte användas om den har spärrats eller om det kan antas att den inte identifierar den sökande på ett tillräckligt säkert sätt.

Vid förnyelse av e-legitimation får identifiering av en sökande ske genom att denne elektroniskt legitimerar sig på ett säkert sätt.

4. Utfärdarens åtgärder vid ansökan om e-legitimation

Utfärdaren ska vid utfärdande av e-legitimation vidta följande åtgärder:

(i) kontrollera att sökandens ansökan om e-legitimation är behörigen undertecknad på papper eller lämnad elektroniskt så som beskrivs ovan och att de uppgifter som den sökande lämnar är fullständiga och stämmer överens med uppgifter som finns registrerade i Statens personadressregister (SPAR) eller något annat officiellt register med aktuell folkbokföringsinformation,

(ii) ta fram e-legitimationen på ett säkert sätt, och

(iii) tillhandahålla e-legitimationen till sökanden på ett säkert sätt.

Eventuella säkerhetskoder eller privata nycklar till sökanden ska tillhandahållas enligt något av följande alternativ:

(a) i separata försändelser och genom utlämning till sökanden vid personligt besök hos utfärdaren eller ett ombud för denne, eller

(b) genom ett elektroniskt förfarande som är separat från tillhandahållandet av e-legitimation.

5. Övriga krav

Utfärdaren ska erbjuda stöd till Användare på svenska och de övriga språk som tillhandahålls av utfärdaren. Utfärdaren ska erbjuda en spärrtjänst för Användare. Spärrtjänsten ska vara tillgänglig dygnet runt och spärr ska träda i kraft snarast, dock senast inom 1 timme, från anmälan.