• Hem
  • / E-legitimeringssystemet
  • / Om Elegitimeringssystemet

Om e-legitimerings­systemet

E-legitimeringssystemet är en samlad benämning på all teknik, alla avtal, regelverk, processer och aktörer som samverkar vid e-legitimering och e-underskrift.

En viktig grundförutsättning i regeringens målsättning ”digitalt först” är att det finns säkra e-legitimationer till alla och att dessa kan användas enkelt och kostnadseffektivt. E-legitimering och e-underskrift är därför en nödvändig del av samhällets grundläggande digitala infrastruktur, både för offentlig och privat sektor.

E-legitimering och e-underskrift är tekniskt och juridiskt komplexa funktioner som ställer höga krav på beställarkompetens för att införa säkra, robusta och juridiskt anpassade lösningar. E-legitimationsnämnden har regeringens uppdrag att stödja och samordna e-legitimering och e-underskrifter för myndigheter, kommuner och landsting.

E-legitimering, så här går det till

Processen att legitimera sig med en e-legitimation innehåller samma steg som när man legitimerar sig i den fysiska världen. Istället för att visa upp sitt id-kort eller pass för en handläggare på myndigheten, anger användaren att den vill använda en e-legitimation genom att klicka på anvisad plats i myndighetens e-tjänst. E-tjänsten skickar då en begäran om identitetsintyg till den part som levererar identitetsintyg för den aktuella e-legitimationen.

Leverantören kontrollerar vem användaren är och att e-legitimationen inte är spärrad, och skickar ett svar i form av ett identitetsintyg till tjänsten. När myndigheten tagit emot identitetsintyget kontrollerar den att det är äkta, utställt av en leverantör som myndigheten godtar samt baserat på en e-legitimation som myndigheten godtar för den aktuella tjänsten. Denna procedur kallas autentisering.

Efter dessa kontroller görs en annan automatiserad procedur för att avgöra om användaren ska ges tillträde att få se och lämna uppgifter i den specifika e-tjänsten. Denna procedur för att kontrollera behörighet kallas auktorisation och utförs på samma sätt, oberoende av vilken e-legitimation som använts.

Roller i e-legitimeringsprocessen

Flera roller samverkar för att e-legitimeringsprocessen ska fungera:

Användaren har en e-legitimation som han eller hon använder för att legitimera sig elektroniskt mot en tjänst. Oftast rör det sig om e-legitimering i digitala tjänster (e-tjänster), men det kan också vara exempelvis i en telefontjänst.

Utfärdaren av e-legitimation förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.

Leverantören av identitetsintyg utför en elektronisk identifiering, alltså en kryptografisk kontroll av vem som legitimerat sig, ställer ut ett identitetsintyg och sänder det till förlitande part.

Vid en indirekt legitimering tar en tredje part emot identitetsintyget från leverantören av identitetsintyg och konverterar det till ett intyg, anpassat för myndighetens IT-miljö, stämplar om identitetsintyget och levererar det till myndigheten.

Förlitande part är den som litar på e-legitimationen och kan vara såväl privat som offentlig aktör, till exempel en myndighet med en e-tjänst Förlitande part anvisar användaren var e-legitimeringen ska ske, begär identitetsintyg, ger användaren behörighet till e-tjänsten och släpper in användaren i e-tjänsten.

Det är viktigt att det finns en fullständig avtalskedja som reglerar samtliga ansvarsförhållanden, hela vägen mellan användare och förlitande part.

Detta behövs för att erbjuda inloggning med e-legitimation

Myndigheter behöver ha avtal med en leverantör av identitetsintyg som är kopplad till utfärdaren av användarens e-legitimation. Det som myndigheten köper är rätten att ställa en fråga (begära identitetsintyg) och få ett svar (identitetsintyg) tillbaka.

Antalet e-legitimationer på marknaden varierar över tid. Den idag vanligaste e-legitimationen är BankID/Mobilt BankID, men det finns andra aktörer och fler kommer att dyka upp. Till exempel har AB Svenska Pass under 2017 godkänts för kvalitetsmärket Svensk e-legitimation och deras e-legitimation ges ut till alla privatpersoner som skaffar Skatteverkets ID-kort. Även andra aktörer är intresserade av att ge sig in på området.

Eftersom man inte på förhand vet vilken e-legitimation en användare kommer att använda, behöver myndigheten kunna tillhandahålla inloggning med flera olika e-legitimationer parallellt. Det innebär ett behov av att ha avtal med flera e-legitimationsutfärdare samtidigt, och att kunna ansluta fler e-legitimationsutfärdare löpande.

Att upphandla e-legitimering

Idag finns tre alternativ för myndigheter att anskaffa e-legitimering. Man kan ansluta sig till ett eller flera av E-legitimationsnämndens valfrihetssystem, avropa tjänsten på Kammarkollegiets ramavtal Programvaror och tjänster Informationsförsörjning 2014 (PT14-IF) eller genomföra en egen upphandling.

Om valfrihetssystem

E-legitimationsnämnden erbjuder en avtalsform som kallas valfrihetssystem där flera utfärdare av e-legitimationer kan ingå och komma till. Valfrihetssystem betyder att användaren väljer vilken e-legitimation som ska användas och som därmed får betalt för transaktionen då användare loggar in alternativt skriver under digitalt.

Såväl upphandlande myndigheter som e-legitimationsutfärdare kan löpande ansluta sig till valfrihetssystemen. Läs mer om E-legitimationsnämndens valfrihetssystem här.öppnas i nytt fönster

eIDAS, inloggning av utländska e-legitimationer

I september 2018 blir det obligatoriskt för offentliga myndigheter att tillåta inloggning av utländska e-legitimationer i sina e-tjänster, något som myndigheter, kommuner och landsting behöver ta höjd för och planera i god tid.

Lagen och införandet kallas eIDAS och är en beslutad EU-förordning. De utländska e-legitimeringarna kommer att gå via den svenska landsnoden. E-legitimationsnämnden är ansvarig för den svenska landsnoden och tillhandahåller en kostnadsfri testmiljö.

Tekniskt ramverk

För att standardisera e-legitimationstrafiken har E-legitimationsnämnden tagit fram ett tekniskt ramverk. Ramverket använder SAML 2.0-teknik och är skräddarsytt för e-legitimering.

Vi rekommenderar starkt att man redan vid upphandling ställer krav på att leverantörer följer E-legitimationsnämndens tekniska ramverk. Det gäller exempelvis leverantörer av identitetsintyg, leverantörer som hjälper förlitande parter, leverantörer av underskriftstjänster och leverantörer som hjälper parter med tjänster som tillhandahåller uppgifter som krävs för auktorisation (attributtjänster).

Kvalitetsmärket Svensk e-legitimation

För att skapa samsyn och tillit i e-legitimeringsfrågan har svenska staten tagit fram kvalitetsmärket Svensk e-legitimation. Det är E-legitimationsnämnden som, utifrån nationella och internationella säkerhetskriterier, granskar och godkänner svenska e-legitimationer för kvalitetsmärket.

E-legitimationer riktade till allmänheten

Hittills har e-legitimationerna AB Svenska Pass och Freja eID+ fått kvalitetsmärket Svensk e-legitimation. Båda dessa riktar sig till allmänheten vid sidan av BankID/Mobilt BankID och Telias e-legitimation.

Kvalitetsmärkta e-legitmationer i tjänsten

Även Huddinge kommuns tjänstekort är godkänd för kvalitetsmärket Svensk e-legitimation på tillitsnivå 3 liksom Inera ABs tjänstekort SITHS Type 3 CA v1.

Informationssäkerhetsarbete

Alla ingående komponenter i en e-tjänst och tillhörande infrastruktur, som system och tjänster för e-legitimering och e-underskrift, måste ha en tillräckligt hög säkerhetsnivå för att kunna skydda informationen som hanteras i och kring e-tjänsten. På samma sätt som ledningen behöver styra och tillsätta resurser för arbetet med att införa e-legitimationer och e-underskrifter, behöver den se till att säkerhetsfrågorna beaktas.

Statliga myndigheter är skyldiga att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet (LIS). Samtliga organisationer som hanterar information som behöver skyddas avseende konfidentialitet, riktighet, tillgänglighet och spårbarhet har behov av ett LIS utformat för att passa den egna verksamheten. Myndigheter
som har en e-tjänst har naturligvis även ansvar för att skydda personuppgifter
enligt gällande lagar.

Läs gärna mer om E-legitimationsnämndens informationssäkerhetsarbete


Det här kan E-legitimationsnämnden hjälpa dig med


Det här gör vi nationellt:

  • Erbjuder valfrihetssystem för e-legitimering
  • Granskar och godkänner e-legitimationer för kvalitetsmärket Svensk e-legitimation
  • Granskar  e-underskriftstjänster
  • Standardiserar  e-legitimering och e-underskrift genom: Tillitsramverket för Svensk e-legitimation, E-legitimationsnämndens tekniska ramverk och E-legitimationsnämndens specifikation för fristående underskriftstjänst.

Det här gör vi internationellt:

  • Företräder  Sverige i eIDAS samarbetsnätverk
  • Är Sveriges kontaktpunkt - Single Point of Contact - inom eIDAS
  • Ansvarar  för den svenska eIDAS-noden
  • Deltar i  internationell standardisering

Nyhetsbrev

Sociala medier