Logotyp, till startsidan

Arkiv för Rättslig vägledning


Skatteverkets yttranden

Betänkandet E-legitimationsnämnden och svensk e-legitimation (SOU 2010:104), N2011/559/ITP

Datum: 2011-04-26

Dnr/målnr/löpnr:
131 81152-11/112
Näringsdepartementet
103 33 Stockholm

Sammanfattning

Skatteverket tillstyrker förslaget under förutsättning att säkerhetskraven ställs mycket högt.

Allmänt

Betänkandet behandlar angelägna frågor. Detaljeringsgraden varierar och vissa frågor återkommer i olika avsnitt. Skatteverkets synpunkter följer därför inte avsnittsindelningen utan är indelade i för verket viktiga frågor.

För Skatteverket är det mycket viktigt att den nya infrastrukturen tar hänsyn till dagens befintliga lösningar så att dessa omfattas i framtida strukturer för att få en så smidig övergång till den nya ordningen som möjligt. Risk kan annars finnas för att användningen av e-tjänster minskar genom att användarna, privatpersoner och företag, måste ta till sig ett nytt förfarande. Erfarenheterna från införandet av nuvarande e‑legitimation har visat att det tog tid för användarna att ta till sig den nya tekniken. Den upplevdes i början som krånglig med ett outvecklat användargränssnitt och otydliga begrepp.

Det är angeläget att det fortsatta arbetet sker i samverkan med e‑tjänsteleverantörerna och identitetsutfärdarna och att E‑legitimationsnämnden kommunicerar förslagen.

 

Utfärdarprocessen

Skatteverket förutsätter att kraven på utfärdarna kommer att ställas mycket högt. Från verkets utgångspunkt är det viktigt med strikta krav så att oseriösa utfärdare kan undvikas. Det är också viktigt med åtgärder som förebygger att någon använder en annan persons identitet, både vid utfärdandet och vid den löpande användningen. Skatteverket förutsätter att det även framdeles kommer att ställas krav på personlig identifiering av den sökande vid utfärdande av e-legitimation. För Skatteverkets del gäller det att eliminera risken för att t.ex. stora skatteutbetalningar styrs till fel konto. Verket förutsätter att E‑legitimationsnämnden, precis som angivits i betänkandet, kommer att följa den tekniska utvecklingen noggrant, t.ex. biometrisk identifiering, och anpassa både kraven och tillsynen till utvecklingen.

I avsnitt 6.1 föreslås att för att få en e‑legitimation ska användaren ha ett personnummer eller ett samordningsnummer. Det innebär att kretsen som kan få e-legitimation utvidgas jämfört med dagens lösning så att även de som har personnummer men som inte längre är folkbokförda och de som aldrig har varit folkbokförda och därför saknar personnummer, men ändå har anknytning hit, t.ex. utlandsboende fastighetsägare, kan få svensk e‑legitimation.

I samma avsnitt nämns det s.k. STORK-projektet som syftar till att göra det lättare att tillhandahålla elektroniska offentliga tjänster över gränserna. På sikt bör ovan nämnda kategoriers behov tillgodoses genom STORK. På kort sikt kan det finnas behov av att utfärda svensk e-legitimation till dem.

En förutsättning för att svensk e‑legitimation ska kunna utfärdas för den som har ett samordningsnummer måste vara att det inte råder osäkerhet om personens identitet. Det kräver dock att det inrättas en möjlighet för utfärdarna att kontrollera och uppdatera uppgifterna om dessa personer. I dag används det statliga personadressregistret SPAR för kontrollerna. Innehållet i registret är begränsat till dem som är folkbokförda eller har ett samordningsnummer med en säker identitet.

Om personkretsen som kan få e‑legitimation ska utökas, t.ex. med personer som har varit folkbokförda men som inte är det längre, måste SPAR anpassas till det uppgiftsbehov som i så fall uppstår.

Tillsyn

För Skatteverkets del är det av yttersta vikt att utfärdare som först framstår som seriösa men sedan övergår till oseriös verksamhet snabbt kan upptäckas och uteslutas. Om så skulle ske krävs en plan för hur e-legitimationer från den uteslutna utfärdaren ska hanteras.

Det är också viktigt att avgifterna bestäms så att dessa väl täcker tillsynen eftersom denna är viktig för upprätthållande av förtroendet.

Ansvar

Ansvarfrågan i samband med eventuella bedrägerier behöver klarläggas. Om en obehörig skulle skaffa sig en e‑legitimation i någon annans namn och med hjälp av denna utför en brottslig handling, t.ex. styra en skatteutbetalning till fel konto, och det skulle visa sig att utfärdaren har brustit måste det klarläggas vem som ska ersätta den eller de drabbade.

Ansvaret måste klarläggas även vid annan otillbörlig användning genom s.k. kapning av identitet efter utfärdarprocessen dvs. i den löpande användningen av e‑legitimationen.

Den privata sektorn

Privat sektor ingår inte bland aktörerna inom den föreslagna infrastrukturen för svensk e-legitimation. Med e-tjänsteleverantörer avses endast offentlig sektor. Även om E-legitimationsnämnden sägs ska verka för att en motsvarande infrastruktur ska etableras för den privata sektorn finns en inte obetydlig risk för att den privata sektorn utvecklar andra lösningar än de som utvecklas för den offentliga sektorn. Då går tidigare målsättningar om att underlätta för medborgare och företag genom att utveckla säkerhetslösningar som kan användas både av offentlig och privat sektor förlorade. Det är inte helt oväsentligt att beakta att användningen av dagens e‑legitimationslösning är större inom privat sektor än inom den offentliga, trots offentlig sektors utveckling av alltfler e‑tjänster. De flesta bankkunder använder numera e‑legitimationen för inloggning till sin Internetbank och för signering, eftersom flertalet banker numera använder e‑legitimationen som sin egen säkerhetslösning

Anvisningstjänsten

Av de två alternativ som föreslås för att underlätta för användaren när denne nyttjar en eller flera e‑tjänster är alternativ två det som bäst tar hänsyn till en positiv användarupplevelse även om det kräver fler ingrepp i Skatteverkets befintliga e‑tjänster. 

Signeringstjänsten

Idag har Skatteverket 12 e‑tjänster som kräver en underskrift och har därför utvecklade underskriftfunktioner för dessa. Alternativ ett torde ur allmänhetens perspektiv på sikt vara det mest effektiva och användarvänliga, under förutsättning att kraven på gränssnittet utgår från användarna och de rättsliga frågorna kring sekretessen utreds. Alternativet innebär dock större utvecklingskostnader för Skatteverket genom att underskrifthanteringen flyttas till signeringstjänsten.

I de fall det är myndigheten, dvs. en handläggare, som ska skriva under anser Skatteverket att det krävs ytterligare utredning innan verket kan ta ställning.

E-tjänstelegitimationer

Skatteverket har under en rad av år påpekat behovet av en organisationslegitimation (e‑tjänstelegitimation). Verkets behov av e‑tjänstelegitimationer med eller utan personangivelse finns inom flera olika verksamhetsområden där e‑tjänster finns som vänder sig till företag. Nuvarande lösning med en personlig e‑legitimation accepteras inte av alla företag eller av de personer som representerar företagen i kontakter med Skatteverket. I stället finns önskemål om en e‑legitimation som är utställd på det företag eller den organisation som man företräder.

På några års sikt ser Skatteverket att behovet av e‑tjänstelegitimationer kommer att öka. Nya e-tjänster som vänder sig till företag planeras, t.ex. kommer det att bli möjligt att kunna lämna en preliminär självdeklaration elektroniskt. Även ny lagstiftning kan komma att öka behovet av e‑tjänstelegitimationer. I lagrådsremiss den 13 januari 2011 med förslag till bl.a. ny skatteförfarandelag föreslås deklarationsombud kunna lämna deklaration. För att utnyttja ett ombud föreslås vidare att deklarationen måste lämnas elektroniskt. Detta ställer ökade krav på tillgång till en e‑tjänstelegitimation, då många deklarationsombud, framförallt för juridiska personer, kommer att agera som ett sådant ombud utifrån sin anställning och inte som privatperson. Den nya lagen föreslås träda i kraft den 1 januari 2012.

I takt med att Skatteverket utvecklat e‑tjänster för företag har även företrädare för utländska företag, respektive utländska ombud för svenska företag, efterfrågat möjligheten att kunna lämna t.ex. skattedeklaration och periodisk sammanställning samt begära momsåterbetalning elektroniskt. Det är därför viktigt att en framtida utveckling av en e‑tjänstelegitimation beaktar även denna målgrupp.

Skatteverket är positivt till det som sägs i 39 § utkast till förordning om infrastrukturen för Svensk e‑legitimation. Att regleringen av e‑legitimationer föreslås även ska omfatta e‑tjänstelegitimationer är bra. Förslaget att lägga anskaffningen av e‑tjänstelegitimationer utanför valfrihetssystemet och föreslagen ersättningsmodell, via avtal direkt mellan de involverade parterna utan nämndens inblandning, kan dock komma att medföra att användningen av en e-tjänstelegitimation begränsas enbart till vissa e‑tjänsteleverantörer.

Affärsmodellen

Skatteverket har inget att erinra mot föreslagen affärsmodell då den i jämförelse med dagens kostnader för e-legitimationer innebär lägre kostnader för verket.

Genomförandeplan 2011-2013

Förslaget till genomförandeplan är mycket ambitiös. Skatteverket ifrågasätter om förslagen är realistiska i alla delar. För verkets del är det viktigt att så tidigt som möjligt få kunskap om när anslutning till den nya infrastrukturen för svensk e‑legitimation kan ske eftersom det komma att kräva anpassningar och utveckling såväl i Skatteverkets tekniska infrastruktur som i befintliga e‑tjänster.

En tidsplan är även av stor betydelse för Skatteverkets fortsatta agerande vad gäller nytt avrop på 2008 års ramavtal för eID. Detta arbete måste påbörjas under hösten 2011 och slutföras före 2012-06-30 då nuvarande avtal går ut.

Hantering av personnummer

På sidan 64 finns hårda krav på att inga identiteter m.m. ska bevaras eller loggas, inte ens i säkerhetskopior, brandväggar, intrångsdetekteringssystem eller liknande. Dessa krav anser Skatteverket vara alltför vaga för att kunna användas. Verket anser därför att det alltid måste vara möjligt att kunna ta reda vem som har utfört en viss transaktion med hjälp av en e‑legitimation.

Övrigt

Skatteverket vill även framföra att det finns behov av ny och tillkommande funktionalitet av mera komplex karaktär t.ex.

  • elektronisk identifiering där identitetsintyget kan tas med till nästa e‑tjänst, så kallad single sign on, som kan finnas på annan myndighets webbplats
  • servercertifikat, dvs. certifikat för anrop maskin till maskin
  • stämpelcertifikat, dvs. stämpellegitimation. Stämpellegitimationer används för att ge elektroniska handlingar en utställarangivelse, med en organisation som utställare, och för att säkerställa att informationen inte förändrats efter stämplingen
  • stöd för utländska e‑legitimationer att användas i svenska e‑tjänster.

Dagens e-legitimationer kan också behöva kompletteras så att säkerhetsnivån höjs. Skatteverket utgår också från att det på sikt endast kommer att användas hårda certifikat, på "smarta kort."

I bilaga 13 avsnitt 1.4 är attributdefinitionerna för otydligt definierade för att kunna fungera som specifikationer, jfr specifikation av e‑legitimationens certifikat.

Beslut i detta ärende har fattats av undertecknad generaldirektör. I den slutliga handläggningen har även deltagit rättschefen Vilhelm Andersson, sektionschefen Jonas Grönkvist och rättsliga experten Gunilla Berg, föredragande.