Säker identifiering är ett mycket viktigt verktyg för att skapa tillit till elektroniska tjänster och handel på Internet. Det är också en nyckelkomponent för att möjliggöra nya innovativa och effektiviserande e-tjänster. Den nu föreslagna modellen för svensk e-legitimation (SOU 2010:104) som överlämnades till statsrådet Anna-Karin Hatt i slutet av förra året, möjliggör på ett helt nytt sätt användande av e-legitimationer inom näringslivet.
Bakgrund
De befintliga lösningarna för e-legitimationer här i sverige har dragits med tung teknisk komplexitet, dyra integrations- och driftkostnader och även problem i hanteringen av personuppgifter. Detta har medfört att trots att 3,5 miljoner svenskar har en e-legitimation, så finns utanför bank/finans endast enstaka tjänster från näringslivet som drar nytta av e-legitimationer. Det har heller ej gått att samordna olika länders lösningar för e-legitimationer, bland annat på grund av de affärsmodeller som tillämpats, men även det som en följd av den tekniska komplexiteten i att sy samman olika länders lösningar.
Den nya modell som föreslås för svensk e-legitimation bygger på marknadslösningar och tillvaratar de redan utgivna e-legitimationerna. I tillägg till detta adresserar förslaget samtliga av ovan nämnda problemområden, vilket innebär att modellen:
- är baserad på öppna standarder,
- ger ett fullgott persondataskydd,
- är teknikneutral,
- är tillräckligt kostnadseffektiv, och
- är tillgänglig för aktörer i alla delar av samhället.
Den nybildade e-legitimationsnämnden har dock endast till uppgift att etablera en Infrastruktur för identifiering för den offentliga sektorn, även om man har uttalat att man skall “verka för” att en motsvarande infrastruktur etableras för näringslivet.
Problemställning
Sanningen är förstås att utan näringslivet så kommer lösningarna och användningen inte få den spridning som krävs för att den nya modellen skall bära sig ekonomiskt. Det är därför mycket viktigt att fokus breddas redan nu, så att e-handlare och andra aktörer inom det privata näringslivet får chans att börja utveckla sina tjänster.
För tjänster på Internet handlar säker identifiering inte nödvändigtvis om att alltid veta användarens fulla identitet. I ett modernt system för e-legitimering förmedlas bara den information från användaren som är relevant för sammanhanget, vilket i många fall innebär s.k. pseudonymitet (att användaren är anonym gentemot tjänsten, men att användarens identitet i efterhand går att härleda vid t.ex. en brottsutredning).
Säker identifiering fungerar också åt båda håll i en affärsrelation, och skänker alltså även legitimitet åt e-tjänsten genom dess förlitandeavtal. Detta är en viktig kugge för att minska den skepsis som många har gentemot elektroniska tjänster och handel på Internet. Infrastrukturen för identifiering ger också en enklare och bättre användarupplevelse genom att användaren slipper hålla reda på otaliga lösenord, och möjliggör s.k. enkelinloggning (Single Sign-On). Vid enkelinloggning sker legitimering vid ett tillfälle, och användaren kan därefter komma åt samtliga anslutna tjänster.
En Infrastruktur för identifiering möjliggör också en säker sammankoppling av flera av användarens elektroniska relationer, som t.ex. sociala nätverk, betaltjänster och logistiktjänster. Detta är ett kraftfullt verktyg för att kunna bygga ut den digitala ekonomin och dra nytta av dynamiken i e-handel, men innebär också ett minskat krångel för alla parter genom snabbare, enklare och förtroligare avslut.
Vägen framåt
Etablerande av tillit till e-tjänster är ett långsiktigt arbete som börjar på det nationella planet, och här gäller det nu att vidga fokus till att även innefatta det privata näringslivet. Det är emellertid viktigt att de arbeten som nu förs av medlemsländerna inom EU är förenliga med varandra. Den nuvarande regleringen på området, det s.k. signaturdirektivet (1999/93/EC), är föråldrat och har genom sin utformning och den tunga tekniska komplexitet det medfört bromsat just den utveckling det var tänkt att underlätta.
Detta EU-direktiv är nu under omarbetning. I det arbetet krävs även en klarsynthet och pragmatism i frågan om elektroniska signaturer, och att separera denna från säker identifiering. Behovet av elektroniska signaturer är i själva verket marginellt, och frågan ges ofta en alltför stor tonvikt. Det behov som ända existerar får inte hindra utvecklingen av säker identifiering.
Grundläggande för en långsiktig och fungerande reglering på området är att den tar fasta på målsättningarna, inte själva metoderna för elektronisk identifiering. Dessa metoder kommer variera över tid med olika befolkningsgrupper och på ett sätt som inte går att förutse idag, och det är just detta som bromsat utvecklingen inom medlemsländerna under 2000-talets första decennium.
Regeringen bör arbeta för att modernisera direktivet och se till att inte ytterligare ett decennium går förlorat. Man bör säkerställa att den omarbetning som just nu görs möjliggör användning och samordning inom det privata näringslivet inom hela unionen, och att den svenska modell för e-legitimationer som nu föreslagits i alla avseenden blir förenlig med det omarbetade direktivet.