E-legitimering
E-legitimation är en elektronisk id-handling som du kan använda för att legitimera dig på ett säkert sätt på till exempel en webbplats eller i en app. Här kan du läsa mer om hur det fungerar, och vad vi på Digg gör inom området.
E-legitimation för dig som privatperson
På webbplatsen elegitimation.se kan du som privatperson läsa om vilka e-legitimationer som finns, hur du skaffar en e-legitimation och hur du skyddar den.
Så fungerar e-legitimering
När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.
Flera olika funktioner samverkar för att e-legitimeringsprocessen ska fungera:
- Användare: Har en e-legitimation som hen använder för att legitimera sig elektroniskt mot en tjänst.
- E-legitimationsutfärdare: Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
- Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
- Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.
Det är viktigt att det finns en fullständig avtalskedja som reglerar alla ansvarsförhållanden, hela vägen från tillhandahållaren av e-tjänsten till användaren.
Här kan du läsa kort om hur det kan gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.
- Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
- E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
- Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
- Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats.
- Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
- E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.
Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.
En leverantör som vill bli godkänd för kvalitetsmärket Svensk e-legitimation granskas av oss för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.
Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.
En id-handling i app är till skillnad från e-legitimationen tänkt att användas vid personligt besök precis som ett traditionellt id-kort.
De organisationer som avser förlita sig på id-handlingar i en app behöver själva avgöra om id-handling i app är godtagbart eller inte. I Sverige finns det ingen generell lagstiftning som anger vilka sätt att legitimera sig som är godtagbara eller vilka legitimationssätt som måste accepteras. Som fullgod svensk id-handling räknas allmänt nationellt id-kort, Skatteverkets id-kort, körkort, svenskt pass i vinröd pärm och SIS-märkt id-kort. En verksamhetsutövare kan dock även godta andra former av id-handlingar, men är också fri att neka dessa.
Digg granskar och godkänner e-legitimationer enligt reglerna i Tillitsramverket för svensk e-legitimation. Reglerna omfattar utgivning av e-legitimationerna och användning av dem i e-tjänster på distans.
Tillitsramverket innehåller dock inga regler kring hur en identitet kan kontrolleras elektroniskt vid ett personligt besök. För att sådan kontroll ska kunna ske säkert kan det krävas vissa digitala verktyg av olika slag som läser av och verifierar id-handlingen. Granskning av dessa verktyg ingår inte i Diggs granskning.
Diggs granskning av e-legitimationer
Digg granskar och godkänner svenska e-legitimationer utifrån Tillitsramverket för Svensk e-legitimation. Tillitsramverket syftar till att etablera gemensamma krav för utfärdare av godkända svenska e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.
Digg granskar e-legitimationer på tillitsnivå 2, 3 och 4. En granskad och godkänd e-legitimation på tillitsnivå 3 och 4 har möjlighet att teckna licensavtalet för Kvalitetsmärket Svensk e-legitimation. En godkänd e-legitimation på tillitsnivå 2 får beslut om godkänd nivå enligt Tillitsramverket men får inte teckna licensavtalet eller använda sig av Kvalitetsmärket.
Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har granskats och godkänts av Digg, och användare kan känna sig trygga med att det är en säker identitetshandling.
Godkända e-legitimationer på tillitsnivå 3 och 4 med Kvalitetsmärket
Utfärdare | E-legitimation | Tillitsnivå | Anskaffas |
|---|---|---|---|
AB Svenska Pass | AB Svenska Pass | 3 och 4 | Privat |
Finansiell ID-Teknik BID AB | BankID på fil | 3 | Privat |
Finansiell ID-Teknik BID AB | BankID på kort | 3 | Privat |
Finansiell ID-Teknik BID AB | Mobilt BankID | 3 | Privat |
Freja eID Group AB | Freja+ | 3 | Privat |
Freja eID Group AB | Freja OrganisationsID | 3 | Via arbetsgivare |
Försäkringskassan | EFOS (Tidigare MCA) | 3 och 4 | Via arbetsgivare |
Försäkringskassan | Mobilt EFOS | 3 | Via arbetsgivare |
Inera AB | Mobilt SITHS | 3 | Via arbetsgivare |
Inera AB | SITHS | 3 | Via arbetsgivare |
Godkända e-legitimationer på tillitsnivå 2
Utfärdare | E-legitimation | Tillitsnivå | Anskaffas |
|---|---|---|---|
Sunet | eduID | 2 | Privat |
Så går granskningen till
Granskningen sker utifrån Diggs Tillitsramverk för Svensk e-legitimation. En central del i vår granskning är att verifiera att en e-legitimation håller den tillitsnivå som den utlovar. I tillitsramverket beskrivs vilka krav som ställs på en e-legitimation från tillitsnivå 2 och uppåt. Grundläggande i vår granskning är också att ingen enskild individ hos utfärdaren på egen hand ska kunna tillverka en e-legitimation.
Vi granskar utfärdarens
- tekniska arkitektur
- finansiella stabilitet
- informationssäkerhetsarbete och internkontroll
- process för identifiering av personer som ansöker om att få en e-legitimation
- framställande och tillhandahållande av e-legitimationer.
Lär dig mer
- Tillitsramverk för kvalitetsmärket Svensk e-legitimation
Länk till annan webbplats. - Vägledning till tillitsramverket för utfärdare Länk till annan webbplats.
Så ansöker du om att bli granskad av Digg
Du som är leverantör av e-legitimationer kan ansöka om att bli godkänd för kvalitetsmärket Svensk e-legitimation. Du hittar mer information om hur du går tillväga på vår sida för leverantörer.
Sweden Connect
Sweden Connect är statens nationella identitetsfederation som gör e-legitimering effektiv och säker.
Sweden Connect består av:
- Ett tekniskt ramverk
- Metadata och kontaktinformation om alla anslutna aktörer
- Avtal som knyter ihop offentliga aktörer med e-legitimationsutfärdare och den svenska eIDAS-noden
Du som är offentlig aktör med en e-tjänst kan använda Sweden Connect både för uppkoppling mot svenska och utländska e-legitimationer. Du tecknar avtal om Sweden Connect med Digg, och hänvisar enkelt i avtalet till er kontakt som sköter det tekniska kring Sweden Connect.
E-legitimering för dig som offentlig aktör
För dig som är utvecklare
Webbplatsen Sweden Connect är till för dig som utvecklar anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.
Det här gör Digg inom e-legitimering
Digg stödjer och samordnar offentlig sektor i frågor som rör säker e-legitimering och e-underskrift, nationellt och internationellt.
Nationellt:
- Tillhandahåller avtal för aktörer med e-tjänster som möjliggör inloggning med privata e-legitimationer, e-tjänstelegitimationer och utländska e-legitimationer.
- Granskar och godkänner e-legitimationer enligt Tillitsramverket för Svensk e-legitimation på tillitsnivå 2, 3 och 4.
- Ansvarar för den svenska identitetsfederationen Sweden Connect.
- Standardiserar e-legitimering och e-underskrift genom olika specifikationer och ramverk för teknik och tillit.
Internationellt:
- Ansvarar för den svenska eIDAS-noden Sweden Connect.
- Är Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS och företräder Sverige i eIDAS samarbetsnätverk.
- Deltar i internationellt standardiseringsarbete.
Dokument och länkar
Sweden Connect
Sweden Connect Länk till annan webbplats.
Lagar och regler
- EU-förordningen eIDAS (EU) 910/2014 Länk till annan webbplats.
- Kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer Länk till annan webbplats.
- Kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt art 12.8 Länk till annan webbplats.
- Kommissionens genomförandebeslut (EU) 2015/296 om inrättande av förfaranden för samarbete mellan medlemsstaterna Länk till annan webbplats.
- Kommissionens genomförandebeslut (EU) 2015/1984 om förutsättningar, format och förfaranden för anmälan Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: