eIDAS-förordningen: Vanliga frågor om gränsöverskridande identifiering

Denna artikel ger svar på vanliga frågor om eIDAS-förordningen och tolkningen av den.

Finns det gemensamma riktlinjer eller tolkningar på statsförvaltningsnivå om ömsesidighet i fråga om gränsöverskridande identifiering i eIDAS-förordningen?

Enligt eIDAS-förordningen är varje aktör inom den offentliga sektorn skyldig att se till att den följer kraven i förordningen och godkänner att EU-medborgare uträttar ärenden via ett identifieringsverktyg som notifierats i enlighet med eIDAS-förordningen.

Statsförvaltningen har inte fastställt några gemensamma riktlinjer eller tolkningar av i vilka situationer och hur skyldigheterna att identifiera eIDAS-förordningen tillämpas i den offentliga förvaltningens e-tjänster.

Ingen instans har fått i uppgift att dra upp gemensamma riktlinjer. Myndigheten för digitalisering och befolkningsdata producerar en nationell nod enligt eIDAS-förordningen, men dess uppgifter omfattar inte tolkning eller övervakning av eIDAS-förordningen. Inte heller Transport- och kommunikationsverket Traficom har behörighet att övervaka eller tolka eIDAS-förordningen till den del den ålägger myndigheterna att tillhandahålla e-tjänster.

Eftersom det inte finns någon centraliserad instans måste varje myndighet själv bedöma vad förordningen förutsätter av den. I denna artikel strävar vi efter att ge råd för denna bedömning.

När ålägger eIDAS-förordningen organisationen att godkänna ett identifieringsverktyg som utfärdats i en annan EU-medlemsstat?

I artikel 6 i eIDAS-förordningen föreskrivs om förutsättningarna för ömsesidigt erkännande. Enligt artikel gäller ömsesidigt erkännande endast metoder där tillitsnivån vid identifiering är väsentlig eller hög och det handlar om en e-tjänst som tillhandahålls av ett offentligt organ. Tillitsnivåer som är lägre än väsentlig omfattas således inte av skyldigheterna i eIDAS-förordningen.

Om det alltså krävs stark autentisering av en aktör inom den offentliga sektorn för att identifiering i e-tjänsten, torde utgångspunkten vara att e-tjänsten i fråga också ska godkänna identifieringsverktyg som är ömsesidigt erkända enligt eIDAS-förordningen.

I Finlands egen nationella reglering av stark autentisering, det vill säga i identifieringslagen, motsvarar kraven i eIDAS-regleringen kraven på väsentlig och hög tillitsnivå.

Vid Suomi.fi-identifikation kan man använda mobilcertifikat och bankkoder som Transport- och kommunikationsverket bedömer att enligt lagen om identifiering motsvarar väsentlig tillitsnivå i eIDAS-förordningen. Vid identifieringen kan man också använda Myndigheten för digitalisering och befolkningsdatas identifieringscertifikat (identitetskort eller organisationskort), som Transport- och kommunikationsverket bedömer motsvara hög tillitsnivå i eIDAS-förordningen. Identifieringsverktyg som utvärderats och godkänts i Finland finns i Transport- och kommunikationsverkets register.

Redan när en organisation börjar använda Suomi.fi-identifikation bedömer den huruvida e-tjänsten förutsätter stark autentisering. Om användningen av organisationens webbtjänst förutsätter användning av Suomi.fi-identifikation, verkar förutsättningarna enligt artikel 6 uppfyllas och e-tjänsten borde också godkänna eIDAS-identifieringsverktygen.

Organisationerna kan tolka skyldigheten till ömsesidigt erkännande i anslutning till e-tjänsten via artikel 6 i förordningen:

1. När det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, ska de medel för elektronisk identifiering som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att

a) medlet för elektronisk identifiering är utfärdat inom ramen för ett system för elektronisk identifiering som ingår i den förteckning som offentliggjorts av kommissionen enligt artikel 9;

b) tillitsnivån för medlet för elektronisk identifiering motsvarar en tillitsnivå som är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst i den första medlemsstaten, förutsatt att tillitsnivån för detta medel för elektronisk identifiering motsvarar tillitsnivån väsentlig eller hög;

c) det offentliga organet i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till nättjänsten.

I regel omfattas sådana tjänster inom den offentliga sektorn som använder elektronisk identifiering på väsentlig eller hög nivå (Suomi.fi-identifikation) av förordningens tillämpningsområde. Det är bra att tänka på detta när organisationen bedömer om det ömsesidiga erkännandet enligt eIDAS-förordningen är förpliktande.

Förpliktar eIDAS-förordningen också att organisationer måste erbjuda elektroniska tjänster för utlänningar?

eIDAS-förordningen reglerar villkoren för vilka metoder för elektronisk identifiering som ska erkännas och hur systemen för elektronisk identifiering ska meddelas. Dessa villkor gör det lättare för medlemsstaterna att bygga upp det förtroende som behövs för varandras system för elektronisk identifiering och att ömsesidigt erkänna andra medlemsstaters metoder för elektronisk identifiering.

Förordningen reglerar dock inte själva tillhandahållandet av elektroniska tjänster i ärendetjänster. Tillhandahållandet av själva substanstjänsten omfattas inte av kraven i eIDAS-förordningen. Principen om ömsesidigt erkännande gäller endast verifiering av kundens identitet i anslutning till elektroniska tjänster. Tillträdet till och slututbudet av nättjänster är dock nära kopplat till villkoren i den nationella lagstiftningen om rätten att utnyttja tjänsterna i fråga.

I vilken mån man i en e-tjänst måste få sitt ärende behandlat som identifierad med en utländsk eIDAS-identifiering beror förutom på eIDAS-förordningen och identifieringen även på den nationella och eventuella övriga EU-lagstiftningen om tjänsten. Denna gränsdragning mellan ”erkännande” av identifieringen och själva e-tjänsten kan ge utrymme för tolkning.

I regel regleras kraven på tillhandahållande av tjänster nationellt. Även om den nationella lagen inte skulle förutsätta eller möjliggöra tillhandahållande av elektroniska tjänster till invånare eller medborgare i en annan medlemsstat, förutsätter god förvaltningssed enligt förvaltningslagen att även dessa erbjuds åtminstone rådgivning.

På unionsnivå främjas EU-medborgarnas och invånarnas samt företagens tillgång till medlemsstaternas elektroniska tjänster genom en gemensam digital informationsled. Den 27 september 2018 godkände rådet en förordning om inrättande av en gemensam digital informationsled (Single digital gateway). Den nya informationsleden gör det möjligt för personer och företag att få tillgång till information och förfaranden samt rådgivnings- och problemlösningstjänster på webben. Informationsleden kommer att innehålla ett gemensamt användargränssnitt "Ditt Europa", via vilket EU-medborgare kan få information om olika medlemsländer. En av grundprinciperna för informationsleden är att om ett förfarande står till medborgarnas förfogande i ett medlemsland, ska även medborgare i andra medlemsländer kunna tillämpa det.

Även om eIDAS-förordningen i princip reglerar identifieringen av medborgare i andra medlemsstater och inte tillhandahållandet av elektroniska tjänster, rekommenderas det att organisationer inom den offentliga sektorn beaktar hur européer använder e-tjänster i vidare bemärkelse. Detta måste göras i den mån det är möjligt och inom ramen för nationell lagstiftning.

Vilken myndighet övervakar efterlevnaden av eIDAS-förordningen?

Inom statsförvaltningen övervakas inte efterlevnaden av eIDAS-förordningen av någon myndighet i fråga om ömsesidigt erkännande. Varje organisation ska själv sköta sina skyldigheter i förhållande till förordningen och möjliggöra identifiering med eIDAS-identifierare i sina e-tjänster, om så bestämts i förordningen.

Myndigheten för digitalisering och befolkningsdata har till uppgift att upprätthålla en nationell nod enligt eIDAS-förordningen, via vilken utländska medborgare som identifierar sig med eIDAS-identifieringsverktyget förmedlas till Suomi.fi-identifikation. Myndigheten för digitalisering och befolkningsdata övervakar inte efterlevnaden av eIDAS-förordningen. Myndigheten tillhandahåller eIDAS-identifierare till organisationernas e-tjänster via Suomi.fi-identifikation.

Transport- och kommunikationsverket Traficom representerar enligt identifieringslagen Finland i medlemsstaternas samarbetsnätverk som avses i artikel 12 i eIDAS-förordningen. Inom nätverket ordnas sakkunnigbedömning av system för elektronisk identifiering som anmälts till EU. Transport- och kommunikationsverkets uppgifter gäller de elektroniska identifieringssystemens överensstämmelse med kraven, inte tillhandahållandet av elektroniska tjänster inom den offentliga sektorn.

Vilka organisationer kan utnyttja den nod som produceras av Myndigheten för digitalisering och befolkningsdata?

Eftersom noden produceras via Suomi.fi-identifikation kan den utnyttjas av alla organisationer som har rätt att använda Suomi.fi-identifikation i sina e-tjänster. Eftersom användningen av Suomi.fi-identifikation i regel är begränsad till den offentliga sektorns e-tjänster kan den privata sektorn inte utnyttja noden.

Att den nationella noden endast tjänar den offentliga sektorn uppfyller kraven i eIDAS-förordningen. Ett av förordningens mål är att undanröja hindren för ömsesidigt erkännande av identifieringsmetoder i offentliga tjänster.

Förordningen gör det dock möjligt att ömsesidigt erkänna identifieringsverktyg även i den privata sektorns e-tjänster. Det ålägger också medlemsstaterna att uppmuntra den privata sektorn att i sina e-tjänster frivilligt använda identifieringsverktyg som är förenliga med eIDAS-förordningen. Om en medlemsstat skulle göra det möjligt att utnyttja en nationell nod för privata aktörer på samma sätt som för den offentliga sektorn, bör det finnas beredskap att tekniskt skilja mellan den offentliga och den privata sektorn.

I identifieringslagen bestäms att Myndigheten för digitalisering och befolkningsdata ska upprätthålla noden (30 § och 42 c §).

Relevanta bestämmelser:
eIDAS, inledande stycken

12) Ett av målen för denna förordning är att undanröja befintliga hinder för den gränsöverskridande användningen av medel för elektronisk identifiering som används i medlemsstaterna för autentisering för åtminstone offentliga tjänster. Denna förordning syftar inte till att ingripa i fråga om elektroniska identitetshanteringssystem och tillhörande infrastrukturer som inrättats i medlemsstaterna. Syftet med denna förordning är att se till att säker elektronisk identifiering och autentisering för åtkomst till gränsöverskridande nättjänster som erbjuds av medlemsstaterna är möjlig.

13) Medlemsstaterna bör även fortsättningsvis ha rätt att för elektronisk identifiering använda eller införa medel för åtkomst till nättjänster. De bör även ha möjlighet att själva bestämma om de vill engagera den privata sektorn i tillhandahållandet av dessa medel. Medlemsstaterna bör inte vara skyldiga att anmäla sina system för elektronisk identifiering till kommissionen. Det ankommer på medlemsstaterna att välja om de till kommissionen vill anmäla alla, några eller inga av de elektroniska identifieringssystem som används på nationell nivå för att få åtkomst till åtminstone offentliga nättjänster eller särskilda nättjänster.

15) Skyldigheten att erkänna medel för elektronisk identifiering bör enbart avse medel vars identifieringstillitsnivå motsvarar en nivå som är lika hög eller högre än den nivå som krävs för den aktuella nättjänsten. Den skyldigheten bör dessutom endast tillämpas när det offentliga organet i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till den nättjänsten. Medlemsstaterna bör ha rätt att, i enlighet med unionsrätten, erkänna medel för elektronisk identifiering med lägre identifieringstillitsnivåer.

17) Medlemsstaterna bör uppmana den privata sektorn att frivilligt använda medel för elektronisk identifiering inom ramen för ett anmält system för identifieringsändamål när detta behövs för nättjänster eller elektroniska transaktioner. Genom möjligheten att använda sådana medel för elektronisk identifiering kan den privata sektorn förlita sig på elektronisk identifiering och autentisering som redan i stor utsträckning används i många medlemsstater för åtminstone offentliga tjänster, samtidigt som det blir lättare för företag och medborgare att få åtkomst till sina gränsöverskridande nättjänster. För att göra det lättare för den privata sektorn att använda sådana gränsöverskridande medel för elektronisk identifiering bör den autentiseringsmöjlighet som tillhandahålls av en medlemsstat vara tillgänglig för de förlitande parter i den privata sektorn som är etablerade utanför denna medlemsstats territorium på samma villkor som för de förlitande parter i den privata sektorn som är etablerade i denna medlemsstat. Med hänsyn till förlitande parter i den privata sektorn får den anmälande medlemsstaten fastställa villkor för åtkomst till medlen för autentisering. Sådana villkor för åtkomst kan innehålla uppgift om huruvida medlen för autentisering för det anmälda systemet för närvarande är tillgängliga för förlitande parter i den privata sektorn.

eIDAS

Artikel 6: Ömsesidigt erkännande

1. När det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, ska de medel för elektronisk identifiering som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att

Artikel 12: Samarbete och interoperabilitet

1. De nationella system för elektronisk identifiering som anmälts i enlighet med artikel 9.1 ska vara interoperabla.

2. Med avseende på tillämpningen av punkt 1 ska ett interoperabilitetsramverk fastställas.

3. Interoperabilitetsramverket ska uppfylla följande kriterier:

...

7. Senast den 18 mars 2015 ska kommissionen genom genomförandeakter fastställa nödvändiga förfaranden för att underlätta det samarbete mellan medlemsstaterna som avses i punkterna 5 och 6 i syfte att främja en hög nivå av förtroende och säkerhet som står i proportion till risknivån.

8. Senast den 18 september 2015 ska kommissionen, i enlighet med de kriterier som fastställs i punkt 3 och med beaktande av resultaten av samarbetet mellan medlemsstaterna, för att fastställa enhetliga villkor för tillämpningen av kraven i punkt 1 anta genomförandeakter om det interoperabilitetsramverk som anges i punkt 4.

Kommissionens genomförandeförordning (EU) 2015/1501

Artikel 5: Noder

2. Noderna ska med tekniska medel ha förmågan att särskilja mellan offentliga organ och andra förlitande parter.

Artikel 8: Meddelandeformat för kommunikationen

Noderna ska som syntax använda gemensamma meddelandeformat baserade på standarder som redan har utnyttjats mer än en gång mellan medlemsstater och visat sig fungera i en operativ miljö. Syntaxen ska möjliggöra

c) åtskillnad mellan offentliga organ och andra förlitande parter;

Hur kan organisationen ta i bruk eIDAS-identifiering i en e-tjänst?

Organisationer som använder Suomi.fi-identifikation behöver inte nödvändigtvis göra något för att införa eIDAS-identifiering. De nya länderna börjar synas som identifieringsalternativ allteftersom de läggs till Suomi.fi-identifikation.