Debatt: En e-legitimation för alla är en uppgift för staten

Sverige har idag, internationellt sett, en mycket hög användning av e-legitimationer. Uppskattningsvis 6 000 digitala tjänster kräver identifiering med godkänd e-legitimation; det kan röra sig om allt från att bli medlem i den lokala scoutkåren till att signera skattedeklarationer eller beställa tid för läkarbesök på vårdcentralen.

Den snabba utvecklingen av digitala tjänster är positiv och underlättar livet för oss samhällsmedborgare. Mycket av det som vi tidigare stod i fysisk kö eller i telefonkö för att åtgärda går nu snabbt att uträtta. Grunden för att digitala tjänster ska fungera är förstås att det finns ett säkert och stabilt system för identifiering, och att alla som bor i landet har möjligheten att få en e-legitimation. Så är tyvärr inte fallet idag.

En miljon i digitalt utanförskap

Det är uppskattningsvis en miljon personer i Sverige som saknar en godkänd e-legitimation. Till stor del handlar det om äldre människor som inte har en smartphone eller dator. Hos personer med en funktionsförmåga som skiljer sig från normen är det så många som en tredjedel som inte har någon e-legitimation. Många som kommit till Sverige från andra länder saknar personnummer, vilket gör det svårt att få en e-legitimation.

För samtliga dessa grupper är det i dag svårt att använda sig av vardagliga digitala tjänster som kräver e-legitimering. På så vis skapas ett utanförskap som kan vara svårt att hantera i ett land där företag och myndigheter allt oftare ställer krav på digital identifiering. En statlig e-legitimation har som krav att råda bot på den bristen.

Regeringen har gett Digg i uppdrag att ta fram ett förslag till en statligt utfärdad e-legitimation som ska vara tillgänglig för så många som möjligt, och vara ett komplement till dagens lösningar. I dagsläget är vi helt beroende av privata företags leveranser av e-legitimationer och det stora beroendet av en enskild leverantör gör samhället sårbart.

Vi lever som bekant i en tid där IT-system ofta utsätts för attacker utifrån, ibland mot samhällskritisk infrastruktur. Digg bedömer att risken är stor att viss samhällsservice helt enkelt upphör om digitala system för ärendehandläggning slutar fungera.

Finansinspektionen konstaterade också i en rapport till regeringen i maj 2022 att ett cyberangrepp mot BankID skulle kunna få allvarliga konsekvenser för flera delar av det svenska samhället och att det därför finns skäl för samhället att ställa krav på att vissa samhällsviktiga tjänster ska acceptera flera olika e-legitimationer.

Robust lösning med högsta möjliga tillitsnivå

Grunden för en statlig e-legitimation är en robust lösning med högsta möjliga tillitsnivå, vilket innebär tillitsnivå 4 enligt kraven i eIDAS, en EU-förordning som reglerar elektronisk identifiering. Bedömningen av hur robust ett system är görs genom en avvägning utifrån sex olika riskområden och av vilka negativa konsekvenser en felaktig legitimering skulle kunna föra med sig.

Förslaget till en statlig e-legitimation, som lämnas till regeringen den 30 januari och som uppfyller såväl regeringens krav som EU:s regelverk, ser sammanfattningsvis ut så här:

1. En statlig e-legitimation ska kunna användas i hela samhället, alltså både i offentlig och privat sektor. E-legitimationen är ett fysiskt kort som går att använda tillsammans med en programvara i en mobiltelefon eller dator. Den är inte kopplad till en specifik mobiltelefon eller dator, och därför behöver inte användaren ha någon egen dator/mobiltelefon. Innehavaren av e-legitimationen kan använda sig av en offentlig dator, till exempel på ett bibliotek, eller få hjälp av någon annan – exempelvis en anhörig eller vän.
2. Kontaktlösa aktiva kort är en beprövad teknik som använts under lång tid för just detta ändamål. De är också relativt billiga, från ett tjugotal kronor per styck i större volymer, och har lång livslängd. Korten kan läsas i såväl smarttelefoner och surfplattor som vanliga datorer. I anslutning till den föreslagna lösningen behöver Digg ta fram nödvändig programvara och handledningar för de olika typer av enheter som ska stödjas.
3. Det räcker inte med att det finns en statlig e-legitimation – den måste gå att använda. Myndigheter, kommuner och regioner måste därför acceptera alla godkända e-legitimationer. Det är inte fallet i dag, då varje aktör själv bestämmer vilka e-legitimationer som kan användas vid inloggning i de digitala tjänsterna. Därför lämnar Digg i rapporten förslag om att en lagstiftning på området måste utredas.
4. För att e-legitimationen ska kunna användas i hela samhället föreslår Digg att det inrättas digitala tjänster där Digg tillhandahåller både elektroniska identitetskontroller och identitetsintyg till såväl privat som offentlig sektor.

Om regeringen fattar beslut om att införa en statlig e-legitimation räknar Digg med att det kommer att ta cirka två år att utveckla den nya tjänsten. Kostnaderna för utveckling och införande av en statlig e-legitimation beräknar vi till 80–100 miljoner kr och därefter årliga kostnader på uppskattningsvis 70 miljoner kr.

Vår förhoppning är att förslaget ska få ett positivt mottagande och att en statlig e-legitimation så snabbt som möjligt ska kunna minska det digitala utanförskapet och öka robustheten i Sveriges digitala infrastruktur.

Anna Eriksson, generaldirektör
Digg, Myndigheten för digital förvaltning