Sverige ligger långt efter i EU:s e-identifikationsprojekt

Rumänien, Spanien, Estland och Färöarna. För att inte tala om Tyskland, Österrike och Frankrike. Det är några exempel på länder som sett möjligheterna i EU:s eIDAS-förordning.  Här har såväl stater såsom privata aktörer skaffat sig ett rejält försprång när det gäller e-legitimationer och betrodda tjänster, exempelvis elektroniska underskrifter och stämplar. Sverige ligger långt efter.

Idag, fem år efter förordningens genomförandebeslut, finns ännu ingen svensk e-legitimation som är notifierad och betrodd inom eIDAS. Det finns inte heller någon betrodd tillhandahållare av tjänster för framställan av elektroniska underskrifter eller stämplar. De tjänster vi har som täcks in av eIDAS-förordningen kan idag betraktas som nationella utan betrodd status utanför vårt lands gränser.

Sveriges självbild som föregångsland inom digitalisering får sig en törn i ljuset av detta faktum. För visst har vi i Sverige i grund och botten samma behov som andra EU-länder i frågan.

Vad är eIDAS?

För dig som inte hunnit bekantat dig med eIDAS kan man beskriva det som en form av samarbete mellan EU:s medlemsstater gällande elektronisk identifiering samt tillhandahållande och bruk av ett antal så kallade betrodda tjänster. Ett exempel på en sådan betrodd tjänst är elektronisk underskrift. eIDAS medger medlemsstater, och stater som inte är medlemmar i EU men tecknat avtal om deltagande, att efter granskning notifiera e-legitimationer samt betrodda tjänster varvid dessa efter granskning och kravuppfyllnad kan brukas inom EU. Exempelvis kan länder med notifierade e-legitimationer låta innehavare av sådana e-legitimationer använda dessa för legitimering mot e-tjänster i andra länder – och samtidigt låta e-tjänsteleverantörer elektroniskt legitimera personer med utländsk e-legitimation. Två av de mer centrala betrodda tjänsterna är elektroniska underskrifter och elektroniska stämplar. Skillnaden dem emellan är att en elektronisk underskrift alltid representerar en fysisk person, medan en elektronisk stämpel alltid representerar en juridisk person. Tanken är att möjlighet ges att elektroniska underskrifter och stämplar ska kunna tillmätas samma juridiska status som fysiskt undertecknande av pappersdokument.

Finns ingen betrodd svensk e-legitimation

Användningsområdet för elektroniska underskrifter och stämplar är naturligtvis enormt stort, då de underlättar och möjliggör alla typer av avtalsskrivande i såväl offentlig som privat sektor. Idag finns ännu ingen svensk betrodd lösning för framställan av elektroniska underskrifter med betrodd status ur ett EU-perspektiv för detta.

Men vi har ju BankID, tänker du? Det är absolut sant att denna e-legitimation underlättar vardagen för många svenskar som exempelvis vill komma i kontakt med myndigheter och banker. BankID är dock inte notifierad och betrodd utanför landets gränser. Denna legitimation som är utvecklad av svenska banker för att tillgodose de behov som finns på en svensk inhemsk marknad, har anammats av myndigheter och genom sin status och höga spridningsgrad fått mer eller mindre total dominans på den svenska e-legitimationsscenen. Den svenska närmast 100-procentiga uppslutningen, inte minst från myndighetshåll, kring BankID har gjort att andra alternativa e-legitimationer haft svårt att ta andelar av ”e-legitimationsmarknaden” i Sverige. Vidare har vi (ännu) inte heller sett någon större våg av initiativ som faktiskt kravställt gränsöverskridande funktionalitet i svenska e-legitimationer eller betrodda tjänster. Här skiljer sig Sverige från andra länder som istället sett en möjlighet i detta.

Vad får det här för konsekvenser?

Om man drar det till sin spets kan man konstatera att vare sig svensk e-legitimation eller exempelvis elektroniska underskrifter är att betrakta som betrodda utanför vårt lands gränser. De som har behov av sådana får istället vända sig till utländska tillhandahållare, i de fall det är möjligt.

Den initierade känner säkert till att det pågår ett nordiskt samarbete för erkännande av e-legitimation, man kan se det som en form av nordisk variant på eIDAS. Men man kan knappast påstå att detta initiativ främst drivs utifrån perspektivet hur myndigheter, privata aktörer eller e-legitimationsinnehavare i Sverige bäst drar nytta av detta. Det blir snarare en plattform för sådana frågor; när dessa kommer att avhandlas och behov tas om hand.

Jag vill vara tydlig med att det alltså inte är BankID som det är fel på, snarare inställningen till eller i förekommande fall även ointresse av, betrodda gränsöverskridande lösningar. Det är ganska talande att den främsta konsekvensen av eIDAS i vårt land hittills har blivit att de flesta svenska myndigheter erbjuder en form av ”Hi and welcome but you are not authorized to do anything here”-meddelande i sina e-tjänster för personer som legitimerar sig för utländsk e-legitimation. Detta i syfte att uppfylla kravet från eIDAS-förordningen om att acceptera notifierade utländska e-legitimationer. Knappast det mest givande exemplet på att dra fördelar av digitalisering, eller hur?

Det har aldrig varit enklare, eller?

Vad bör då göras – och hur kan den som inser potentialen i elektroniska underskrifter och stämplar skaffa sig ett försprång? Ja, aldrig har det varit enklare att kravställa en lösning än just nu. Standarder är redan definierade, kravspecifikationer och utvärderingskriterier likaså. Det handlar mer om att inse behoven och att vara beredd på hur man kan tillgodose dessa, såväl nationellt (om man enbart har inhemska behov) men även internationellt. Digitaliseringsmyndigheten är en viktig aktör i Sverige i denna fråga, de ska ha beröm för mycket av det de gör och låtit utföras, men fler behöver få upp ögonen för de möjligheter användningen av betrodda tjänster faktiskt innebär.

Bedriver du en verksamhet där en gränsöverskridande e-legitimationslösning eller elektroniska underskrifter skulle göra skillnad? Då är du för det första verkligen inte ensam. Och det finns naturligtvis fungerande lösningar tillgängliga på EU:s inre marknad. Du kan behöva en bra rådgivare som hjälper dig att välja och navigera förbi fallgropar och misstag som andra redan gjort – men som vanligt gäller ju att den som är först ut med nya sätt att effektivisera och dra nytta av nya möjligheter oftast får flera konkurrensfördelar.

Frågan nu är vem som tar bollen och driver på? Staten eller näringslivet? Eller kan vi hitta en smart och snabb väg framåt genom existerande lösningar och fungerande samarbeten? För varje dag vi väntar hamnar både svenskt näringsliv och svenska myndigheter ännu mer på efterkälken.

 

Inläggsförfattare är Conny Balazs, Team Lead Cybersecurity på Sopra Steria.

Kommentera