Erbjud inloggning med svenska e-legitimationer

Valfrihetssystem övergår till auktorisationssystem. Det går inte längre att ansluta sig till ett valfrihetssystem då lagen om valfrihetssystem i fråga om tjänster för elektronisk identifiering har upphört att gälla.

Valfrihetssystem övergår till auktorisationssystem

Offentliga aktörer och e-legitimationsutfärdare som redan är anslutna till ett valfrihetssystem fortsätter att vara anslutna. Detta enligt reglerna i tidigare gällande lag om valfrihetssystem samt enligt villkoren för redan tecknade avtal. Detta gäller till dess att endera part säger upp avtalen i enlighet med villkoren för respektive avtal.

När auktorisationssystem finns kommer Digg att ordna med en övergång från valfrihetssystem till auktorisationssystem för dem som är anslutna.

Auktorisationssystem för elektronisk identifiering och digital post

Vem som kan ansluta och erbjuda inloggning med svenska e-legitimationer

Offentliga aktörer, det vill säga myndigheter, kommuner och regioner, kan teckna Diggs avtal för att erbjuda inloggning med svenska e-legitimationer. Med införandet av auktorisationsystemet för elektronisk identifiering kommer även privata aktörer inom vård och skola att kunna ansluta.

Skapa en robust inloggning genom att erbjuda flera alternativ för användaren

Många e-tjänster förlitar sig idag till en enda e-legitimeringslösning vilket gör att åtkomsten till e-tjänsten är beroende av tillgängligheten hos en enda e-legitimationstjänst. Det händer att viktiga e-tjänster inte går att använda på grund av driftstörningar hos en e-legitimationsutfärdare och det innebär problem för användarna. Att kunna erbjuda fler än en e-legitimation som alternativ för inloggning ökar robustheten i systemet, gör tjänsten mindre sårbar och gör e-tjänsten tillgänglig för fler användare.

Digg har avtal som gör att du som offentlig eller privat aktör kan erbjuda inloggning med flera e-legitimationer utan att behöva gå igenom en upphandling.

Hur man förbereder sig för att kunna erbjuda inloggning med svenska e-legitimationer

Det finns olika sätt att arbeta med att implementera inloggningslösningar för e-tjänstelegitimationer i e-tjänster. Ofta brukar man sätta upp någon form av projektgrupp men det kan se olika ut i varje organisation. Nedan hittar du information som är bra att ha med i planeringen.

Inventera nuläget

Ta reda på om och vilka pågående e-legitimeringsavtal du har, antingen med annan part eller med Digg.

Aktörer som är anslutna till Diggs avtal

Planera kompetenser

I processen för att ansluta till Diggs infrastruktur ingår flera faser. Här har vi samlat information om vilka kompetenser som kan behövas under de olika stegen.

Analysfas

  • Verksamhetsspecialister eller verksamhetsutvecklare som har kunskap om vilken information som kommer att finnas i e-tjänsten för att kartlägga informationsmängderna.
  • Informationssäkerhetsspecialister som stöttar i arbetet med att bedöma behovet av skydd för informationen.
  • Kompetens för att analysera och bedöma om och hur du ska hantera e-legitimationer som innehåller samordningsnummer.
  • Kompetens för att analysera och bedöma hur du ska hantera inloggning med e-legitimationer när användaren är underårig.

Administrera avtal

  • Det är din egen organisation som avgör vem som har mandat att skriva under avtalet.
  • Vissa av Diggs avtal efterfrågar information om tekniska supportkontakter, det framgår då av avtalet.
  • Ta hjälp av organisationens jurist eller annan kompetens som arbetar med upphandlingsfrågor för att tolka innehållet i avtalet.

Göra e-tjänsten redo

  • Teknisk kompetens för anpassning av e-tjänsten.
  • Kompetens för att göra bedömningar beroende på vilka användarna av e-tjänsten är.

Teknisk anslutning

För anslutning mot en e-legitimation krävs kompetens för att göra en teknisk integration mot olika tekniska anslutningsmetoder såsom BankID RP API, Sweden Connect eller andra.

Om du inte har kunskapen själv – ta kontakt med dina leverantörer av e-tjänster, appar, eller portaler för den tekniska anpassningen.

Sweden Connect är Diggs standardiserade infrastruktur för tillhandahållande av e-legitimeringstjänster och e-underskrifter. Syftet är att samordna och förenkla för de offentliga aktörerna, och att främja ytterligare utveckling av digitala tjänster. Här på vår webbplats finns mer information om Sweden Connect och om hur ni ansluter.

Sweden Connect – Diggs infrastruktur för e-legitimering

Bedöm krav för åtkomst

Innan du erbjuder inloggning med e-legitimation i e-tjänsten bör du bedöma hur säkert användaren behöver vara identifierad för att få ta del av och lämna information i e-tjänsten.

E-legitimationer har olika grader av säkerhet som kallas för tillitsnivåer. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.

Du behöver bedöma vilken tillitsnivå e-tjänsten ska kräva baserat på e-tjänstens användare och den information som förmedlas i e-tjänsten.

Avgör vilken tillitsnivå e-tjänsten ska kräva Länk till annan webbplats.

Planera e-tjänsten utifrån användaren

Hantering av samordningsnummer

Vissa e-legitimationer kan ges ut till personer med samordningsnummer. Du behöver därför bedöma om din e-tjänst ska kunna ta emot dessa och anpassa den tekniskt.

Det finns tre nivåer av samordningsnummer, du hittar mer information om detta hos Skatteverket.

Samordningsnummer Skatteverket (skatteverket.se) Länk till annan webbplats.

Hantering av inloggning när användaren är underårig

I dag är det mycket vanligt att underåriga har en e-legitimation. Att en underårig får en e-legitimation innebär dock inte automatiskt att hen har rätt att genomföra rättshandlingar med e-legitimationen. Du som har en e-tjänst där underåriga kan logga in behöver därför ta ställning till om förmyndarens godkännande krävs för ärenden som kan utföras i e-tjänsten.

Du behöver också ta hänsyn till de risker som finns att den underåriges e legitimation missbrukas, till exempel av en vårdnadshavare. Ett barn kan inte förväntas värja sig mot en förälders begäran att lämna över dennes e legitimation och personliga kod. Om vårdnadshavaren utger sig för att vara den underårige genom att använda dennes e-legitimation är detta dock straffbart, oavsett om den underårige vet om handlingen och samtyckt till den (jmf. 15 kap 12 § BrB om missbruk av urkund). Risker som dessa kan bland annat uppstå om en vårdnadshavare skulle använda den underåriges e-legitimation för att ta del av uppgifter det råder sekretess i förhållande till vårdnadshavaren enl. 12 kap. 3 § OSL.

E-tjänster bör därför endast erbjuda inloggning för underåriga när riskerna för missbruk är särskilt låga. Kravet på den underåriga användarens ansvar när det gäller hanteringen och användningen av e-legitimationen, gäller som regel endast om det är skäligt med hänsyn till ålder och mognad.

Mer detaljerad information finns i Tillitsramverket:

Bilaga B: Utgivning av e-legitimation till underåriga

Utred behov av e-underskrifter

I samband med att man implementerar en e-legitimationslösning i sin e-tjänst är det bra att se över behovet av e-underskrift.

E-underskrifter används dagligen av människor när de använder e-tjänster. Det kan till exempel vara när man bekräftar ett köp eller när användaren skriver under i en myndighetstjänst. En e-underskrift används alltså på ett juridiskt bindande sätt för att användaren ska kunna utföra rättshandlingar inom ramen för en e-tjänst. Den vanligaste formen av e-underskrift är en elektronisk underskrift i en e-legitimation, då ingår underskriftsfunktionen i e-legitimationen.

Underskriftstjänst Länk till annan webbplats.

Ofta har myndigheter behov av annan form av e-underskrift än den som finns via e-legitimationen. Post- och Telestyrelsen (PTS) har tagit fram en vägledning för offentliga aktörer gällande detta.

Införa elektronisk underskriftstjänst i verksamheten (pts.se) Länk till annan webbplats.

Förbered tekniska tester

För anslutning mot en e-legitimation krävs kompetens för att göra teknisk integration mot olika tekniska anslutningsmetoder, såsom BankID RP API, Sweden Connect eller andra.

När avtalen är tecknade får du mer information om hur du gör den tekniska anslutningen till utfärdarna.

Det är dock möjligt att påbörja tekniska tester i Sweden Connects sandboxmiljö innan ett avtal är tecknat med Digg. När avtalet sedan är tecknat kommer vi att kontakta den person som ni har angivit som behörig som då kan göra den tekniska anslutningen i QA- och produktionsmiljö.

Beställ behörighet till sandboxmiljön

Om ni inte redan har behörighet till Sweden Connects sandboxmiljö kan ni beställa det. Beställ behörighet genom att skicka e-post till adressen info@digg.se.

Ange i mejlet:

  • Namn och mejladress till den som ska ha tillgång till miljön.
  • Organisation.
  • Motivering för tillgång till sandboxmiljön.

Sweden Connect – Diggs infrastruktur för e-legitimering

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: