Bilaga A: Utgivning av e-legitimation i befintlig distansrelation
Bilaga A till ”Vägledning för utfärdare: Uppfyllande av tillitsramverkets krav för Svensk e-legitimation.
1. Inledning
För att en legitimationshandling ska vara användbar måste det finnas ett brett förtroende för handlingen bland de som ska förlita sig på den. Förtroendet grundas bland annat i att både utfärdandeprocessen, tillhandahållandet och legitimationshandlingen som sådan är utformad på ett tillräckligt säkert sätt, och att de överenskomna regler som omfattar dessa delar följs av de som ger ut sådana legitimationshandlingar.
Ambitionsnivån för Svensk e-legitimation utgivna i en befintlig distansrelation är densamma. E-legitimationshandlingar av tillitsnivå 3 avses uppfylla motsvarande grad av skydd som den traditionella legitimationshandlingen, samtidigt som sådana elektroniska legitimationshandlingar ska kunna tillhandahållas och användas på ett så effektivt sätt som möjligt.
2. Säker legitimationskontroll
Utgångspunkten är att en Svensk e-legitimation av tillitsnivå 3 ska tillhandahållas på ett likvärdigt sätt som vid utgivning en traditionell fullgod ID-handling. Vid sådan utgivning sker legitimationskontroll vid personligt besök av utbildad personal i betrodd ställning.
I denna del ska särskilt understrykas att den hantering av rekommenderat brev för privatpersoner som vanligen tillhandahålls av andra företag än Posten, t.ex. mataffärer, inte anses likvärdigt med utgivning vid personligt besök. En sådan hantering med rekommenderat brev kan dock vara en del i ett distansutgivningsförfarande, som tillsammans med andra kontroller kan anses uppnå en motsvarande grad av skydd som tillhandahållande vid personligt besök.
Denna bilaga syftar till att belysa vad som bör gälla vid ett distansutgivningsförfarande enligt K5.11 för att kraven på säker identifiering och säkert tillhandahållande ska kunna anses vara uppfyllt.
3. Utfärdande via ombud
Det är naturligtvis tänkbart att säker identifiering och tillhandahållande av e-legitimation kan utföras av ett ombud för utfärdaren. Samma krav enligt K3.2 ställs då på ombudets personal som ska tillhandahålla denna funktion, som för den egna personalen. Ansvaret ska också regleras i avtal mellan ombudet och utfärdaren, och eventuella underleverantörsförhållanden ska tydliggöras i enlighet med K2.6. Utfärdare ansvarar dock för ombuden som för den egna verksamheten.
Utfärdande under sådana premisser bör alltså inte anses utgöra distansutgivning.
4. Utgivning i befintlig distansrelation
Vid införandet av det svenska e-legitimationssystemet angavs att utfärdaren ska identifiera sökanden vid personligt besök, på likvärdigt sätt som vid en ansökan om en SIS-märkt legitimationshandling. Samtidigt infördes emellertid en regel om att en sökande som, på angivet sätt, redan har identifierats vid ett personligt besök för att få använda bank på Internet eller någon liknande tjänst för ekonomiskt eller rättsligt betydelsefulla mellanhavanden, istället får identifieras genom denna tjänst.
Dessa bestämmelser syftade till att underlätta utgivning av e-legitimation elektroniskt och på distans, företrädesvis via sökandens Internetbank. Det möjliggör kostnadsbesparingar och ökar tillgängligheten, både genom att sökanden direkt i e-tjänsten kan tillhandahållas det användarstöd som krävs vid installation och nedladdning av e-legitimation och nödvändig programvara, men också för att effektivisera utgivningen genom ett självserviceförfarande.
En sådan förenklad rutin skulle emellertid inte få användas om det kan antas att den avsedda e-tjänsten inte förmår identifiera sökanden på ett tillräckligt säkert sätt. Tillåtligheten kräver alltså också att sökanden ska kunna identifieras på distans på ett säkert sätt, åtminstone med en säkerhetsnivå likvärdig med den e-legitimation som ges ut.
Övriga säkerhetsaspekter anses omhändertagna genom att utfärdaren erbjuder utgivning som del i en annan tjänst, vars huvudsakliga syfte innebär att utfärdaren står en betydande ekonomisk eller rättslig risk i samband med denna. Resonemanget grundas alltså i att utfärdaren förväntas ha vidtagit de säkerhetsåtgärder som krävs för att hantera den egna risken förknippad med tjänsten, och att dessa bör kunna anses tillräckliga även för utgivning av e-legitimationer.
Det är även vanligt att banker som helt saknar fysisk representation ger ut e-legitimationer. Dessa kan då anses ha uppfyllt kraven på rättsligt eller ekonomiskt betydelsefulla mellanhavanden genom att ha uppnått en beprövad kundkännedom där kunden regelbundet använder en eller flera tjänster som tillhandahålls av banken. Ofta är ett eller flera rekommenderade brev led i upprättandet av kundrelationen. Förfarandet kan anses leda till att banken erhållit kundkännedom enligt de finansiella regelverken. Riskerna med utgivning av e-legitimationer skiljer emellertid från riskerna för till exempel penningtvätt och finansiering av terrorism. Därför ställs ytterligare krav för att det ska kunna anses finnas en sådan rättsligt eller ekonomiskt betydelsefull relation mellan banken och kunden som avses i Tillitsramverket. Det avses fordra att kunden brukar bankens tjänster under viss tid, vanligen i storleksordningen 6 månader, samt att det sker en inte obetydlig omsättning på kundens konton. Ett fåtal transaktioner är därmed i sig inte heller tillräckligt.
5. Utfärdandeprocessen
Utfärdandeprocessen i de delar som rör distansförhållandet kan brytas ner i två huvudkomponenter:
- fastställande av sökandens identitet,
- tillhandahållande av e-legitimationshandling.
Den samlade skyddsgraden kan sägas vara produkten av säkerheten i dessa två steg. Fastställande av sökandens identitet kan samtidigt betraktas utifrån både säkerheten i den ursprungliga identifieringen och den kundkännedom om sökanden som utfärdaren uppnått över tid, där dessa två delar kan kompensera för varandra.
Exempel: Utfärdande via Internetbank
I det typfall för vilket bestämmelserna för distansutfärdande en gång utformades, dvs. bankkunder med tillgång till Internetbank, förutsätts kundens identitet ha fastställts då kundrelationen upprättas genom identifiering vid personligt besök med fullgod legitimationshandling. I efterföljande tid har banken sedan uppnått en beprövad kundkännedom, t.ex. genom att kundens lön regelbundet sätts in på ett konto i banken, och kanske att ett bankkort knutits till kontot med vilket kunden betalar sina utgifter. Därigenom upprätthålls en pågående relation mellan banken och kunden. Detta är också de grunder som bankerna själva använt för att utfärda de s.k. SIS-märkta ID-korten.
I tillägg till detta har banken dessutom tillhandahållit kunden någon form av elektroniskt identifieringsmedel, t.ex. ett aktivt kort eller dosa för engångslösenord, med vilken kunden kan identifieras på ett säkert sätt i Internetbanken. Såväl identifiering som tillhandahållande sker då genom användning av denna säkra identifierings- och överföringsmekanism.
I detta fall har alltså grundidentifiering skett genom legitimationskontroll av hos utfärdaren betrodd personal, och som tilldelat sökanden ett säkert medel för identifiering som utfärdaren kan använda för att på distans och på ett säkert sätt identifiera sökanden. I efterföljande tid har banken uppnått ytterligare kundkännedom genom av banken tillhandahållna tjänster, varvid en e-legitimation kan utfärdas på nämnda sätt.
Förfarandet anses förenligt med tillitsramverkets syfte att upprätthålla tillräcklig säkerhet i processen för distansutgivning, och från säkerhetssynpunkt kunna betraktas som likvärdigt med ansökan och utgivning av en traditionell legitimationshandling.
Exempel: Utfärdande via arbetsgivare
En tillämpning av bestämmelserna bör även kunna göras i det fall identifiering och tillhandahållande sker genom en arbetsgivares försorg. En sådan arbetsgivare skulle nödvändigtvis inte behöva agera ombud (underleverantör) enligt avsnitt 4, utan kan istället genom sin ställning bidra till att stärka säkerheten i utgivningsprocessen till den nivå som krävs.
Då arbetsgivarens organisation används som en del i utgivningsprocessen, förutsätts initiativet till utgivningen tas av arbetsgivaren som en del i att tillhandahålla medarbetaren en e-legitimation denne ska använda i tjänsten. Här anses rekvisitet rättsligt eller ekonomiskt betydelsefullt mellanhavande vara uppfyllt genom arbetsgivarens relation med sökanden. Den person vid arbetsgivaren som beställer e-legitimationen förutsätts vara behörig att företräda beställaren i den aktuella rollen, det förutsätts vidare att utfärdaren kontrollerar dessa omständigheter så att den försändelse som riktas till arbetsgivaren kommer rätt person till handa.
Dock, då arbetsgivaren inte är att anse som en del av utfärdarens verksamhet och inte heller agerar ombud för denne, krävs kompenserande kontroller för att säkerställa att inte arbetsgivaren obehörigen i annans namn beställer och missbrukar en sådan e-legitimation. Det förutsätts vidare att utfärdaren och arbetsgivaren har upprättat avtal, där de allmänna villkoren förknippade med tjänsten regleras och vilka personer inom arbetsgivarens organisation som är behöriga att beställa sådana e-legitimationer. Utfärdaren bör ha kontroller som säkerställer att varje beställning är behörigen undertecknad av beställaren.
Tillhandahållandet av sådan e-legitimation kan till exempel ske genom att sökanden förses med två olika försändelser; en försändelse som sänds som rekommenderat brev till sökandens folkbokföringsadress, och en försändelse som sänds till den som behörigen undertecknat ansökan för beställarens räkning. Denna företrädare för beställaren ska personligen efter att ha säkerställt sökandens identitet, överlämna den obrutna försändelsen till sökanden som i sin tur ska kvittera mottagandet.
I detta fall har alltså ursprungsidentifiering skett dels genom legitimationskontroll av behöriga företrädare för arbetsgivaren, dels av utlämningsstället för det rekommenderade brevet, varvid uppgifter i dessa två försändelser kombineras för att på ett säkert sätt på distans identifiera sökanden. Arbetsgivaren anses ha uppnått motsvarande kundkännedom genom ett anställningsförhållande eller motsvarande, där arbetsgivaren också betalar ersättning till den anställde. Utfärdande kan sedan ske via den upprättade distansrelationen med utfärdaren på angivet sätt.
Även detta förfarande bör kunna anses vara förenligt med tillitsramverkets syfte att upprätthålla tillräcklig säkerhet i processen för distansutgivning.
6. Otillräckliga grunder för distansutgivning
Som tidigare angetts bör rekommenderat brev ställt till privatperson som enda identifieringsgrund inte anses vara tillräckligt för distansutgivning av e-legitimation.
Inte heller bör uppgifter från fakturor eller liknande försändelser användas som grund för att identifiera sökanden. Sådana förfaranden är visserligen vanliga i många andra länder, företrädesvis inom den s.k. anglosfären. I dessa länder finns därför en inarbetad kultur att säkert förvara och förstöra sådana handlingar. I Sverige, med den starka offentlighetsprincip som råder, finns ingen sådan kultur. Fakturor, kontoutdrag och liknande handlingar slängs ofta med hushållssopor eller i pappersåtervinning, och det är ofta också enkelt att få ut fakturakopior från olika leverantörer. Ett sådant förfarande skulle därför medföra betydande risker för identitetsstölder, varför sådana uppgifter inte ska användas som grund för identifiering och distansutgivning av e-legitimation.
Slutligen bör inte heller enstaka kreditkortstransaktioner av ringa värde kunna anses utgöra tillräcklig grund för att identifiera sökanden vid distansutgivning. Kreditkort ges ofta ut via reguljär postgång, där kreditkortsföretagen har interna kontroller för att upptäcka transaktioner som kan tyda på att kreditkortet hamnat i felaktiga händer. Det är också vanligt att kreditkortsuppgifter röjs genom dataintrång. En enstaka sådan transaktion kan därför inte anses vara tillräcklig grund för identifiering av sökanden, och måste således kompletteras på mer än ett sätt.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: