Logo: XML Sweden Start
XML 1.0 XML 1.1

Title: XML Sweden


XML Sweden är ett konsultföretag som har specialiserat sig på dataformatet XML med tillhörande standarder, exempelvis XBRL. Vi har också en unik kompetens avseende de verktyg som har utvecklats och är under utveckling i de nämnda standarderna och kan därmed ge kvalificerade råd och utbildning för introduktion till den nya standarden.

Bland våra kunder finner man Arbetsmarknadsstyrelsen, AstraZeneca, Bankgirocentralen, Ekonomistyrningsverket, Försvarets Materielverk, H & M Hennes och Mauritz AB, Stockholms stad, Stråhlfors, Tele2, Telia Mobile, Volvo IT m.fl.

SAML-standarden strider mot europeisk dataskyddslagstiftning

2013-03-11 (tillägg 2013-04-15): AB XML Sweden följer utvecklingen av "de stora" XML-standarderna. Företaget vill betona vikten av standarder som XBRL och UBL, men samtidigt varna för standarden SAML, som är tänkt att tillämpas på en stor andel av dokument och applikationer på internet.

SAML-standarden har i sin ursprungsform legat fast sedan 2006 och har senare kompletterats med några understandarder. Den har tillämpats av många stora organisationer/applikationer t.ex. Microsoft, Google, Yahoo, Facebook. Många mindre organisationers applikationer har byggt på de tillämpningar som "de stora" har fastnat för, eftersom det har betraktats som en garanti för stabilitet.

Många tillämpare har prisat SAML för att standarden klarar säkerhetsproblemen och även federerade tjänster, något som blivit ett nyckelord i debatten. Få har dock granskat SAML ur ett integritetsperspektiv. Sett från ett sådant perspektiv, bygger standarden bl.a. på ett vilseledande begrepp, "Identity Provider", och saknar ett annat nödvändigt begrepp, nämligen "asymmetric trust".

Identity provider

"Identity provider (IdP)" översätts närmast med "identitetsleverantör" eller "den som förser individen med en identitet". Begreppet ger intrycket att en individ saknar identitet, i vart fall en digital identitet, innan en IdP har försett individen med en sådan.

Detta saknar sin motsvarighet i den verkliga världen. Identiteten skapas av individens egenskaper och intressen samt av andras omdömen/åsikter om individen. Från integritetssynpunkt borde det vara rimligt att en individ har rätt till informationen om sin identitet, med den begränsningen att andra personer/organisationer har full rätt att publicera åsikter om personen/identiteten så länge de inte är skadeståndsgrundande. Några resonemang, definitioner eller beskrivningar om användarens/individens rättigheter eller integritetsskydd finns inte i någonstans i SAML-standarden! Det är snarare så att standarden är skapad utifrån "IdP-organisationernas" intressen. Som följd härav tilldelas dessa en förhöjd status i form av en organisation som möjliggör att en digital identitet skapas när de i själva verket utför en tjänst att styrka en användares/individs identitet — inget mer.

SAML-standarden har medfört att IdPerna blir centrum för informationsinsamling om identiteterna och informationen lagras i stora databaser hos Google, Yahoo och Facebook m.fl. Mot detta synsätt och denna hantering står t.ex. Identity 2.0/User-centric ID, begrepp som myntades redan innan SAML-standarden låstes. Enligt dessa begrepp är det individen/användaren som samlar information om sig själv på samma sätt som i ett CV och använder olika organisationer för att styrka detta, t.ex. kan individen använda Bolagsverket för att styrka att hon/han är styrelseledamot i ett visst företag.

Mot centrala databaser knutna till SAML-standarden står egna profiler i Identity 2.0/User-centric ID. I stället för att personuppgifter läggs ut på nätet i SAML-fallet lagras uppgifterna lokalt hos användaren i Identity 2.0/User-centric ID.

Asymmetric trust

Asymmetric trust översätts närmast som asymmetriskt förtroende. Vad är då detta? Ska inte ett förtroende vara ömsesidigt? Låt oss översätta till den analoga världen: En ung person legitimerar sig med sitt körkort på Systembolaget. Expediten har instruktioner om att körkort och pass är godkända legitimationer och kontrollerar att det uppvisade körkortets giltighetstid inte har gått ut, att personen är över 20 år och om bilden på körkortet stämmer med den fysiska personen. Om allt är som det ska, godkänner expediten transaktionen/köpet. Om det råder ett asymmetriskt förtroende mellan utfärdaren av körkortet/Transportstyrelsen och Systembolagskunden så har eller får Transportstyrelsen inte någon information om köpet. Det kan verka som en självklarhet.

I Sverige har E-legitimationsnämnden fått uppdraget att skapa en infrastruktur för Svensk E-legitimation. I den strukturen räcker det emellertid inte med kontroller som motsvaras av dem i köpet ovan på Systembolaget, utan E-legitimationsutfärdaren (banken, Telia) ska informeras om den tjänst användaren anlitar via SAML-assertion-standarden och infrastrukturens anvisningstjänst ska informera E-legitimationsnämnden om den anlitade tjänsten via SAML-idp-discovery-standarden. Detta skulle närmast kunna definieras som "symmetric trust". Begreppet "asymmetric trust" saknas i SAML-standarden, men är en viktig del i Identity 2.0/User-centric ID.

Nu kan någon hävda att E-legitimationsutfärdaren inte informeras om den tjänst användaren anlitar genom att en s.k. proxy-IdP läggs hos E-legitimationsnämnden mellan E-legitimationsutfärdaren och tjänsten i den senaste versionen av Svensk E-legitimation. Här finns en möjlighet att bryta förbindelsen mellan E-legitimationsutfärdaren och tjänsteleverantören, men varken i gällande SAML-standarder eller i de ändringsdokument som E-legitimationsnämnden har lagt ut på nätet nämns något om en sådan adressändring. Detta för att klarlägga vilket värde SAML-standarden och nämnden tillmäter integritetsfrågorna. Även om man skulle ha brutit den nämnda förbindelsen kvarstår ett ännu allvarligare faktum: Proxy-IdPn hos E-legitimationsnämnen känner till alla besök till olika tjänster som användarna gör. Enligt föreliggande förslag räknar den t.o.m. antalet besök som respektive användare gör hos respektive tjänst, så att en viss mängdrabatt på transaktionskostnaden kan meddelas vid regelbundna besök. E-legitimationsnämnden håller alltså reda på hur många gånger användaren har besökt sin psykiaters bokningstjänst, bokningstjänsten för HIV-provtagning, tjänsterna hos sitt spelbolag, politiska parti eller fackförening. Informationen om individernas besök hos tjänsteleverantörerna lagras i ett år. Det bör tilläggas att E-legitimationsnämnden är knuten till Skatteverket; dess personal är t.ex. anställd hos Skatteverket.

E-legitimationsnämndens uppdrag

I kommittédirektiv 2010:69 för bildandet av E-legitimationsnämnden framhålls "vikten av att integritetsfrågorna hanteras på ett ansvarsfullt sätt. Samordningsfunktionen kan, såsom framhålls i betänkandet, styra hanteringen av elektronisk identifiering och signering så att integriteten skyddas på ett ändamålsenligt sätt. Felaktigt utformat skulle ett system för samordning av elektronisk identifiering och signering kunna leda till risker för den personliga integriteten, t.ex. om uppgifter om en enskilds alla kontakter med myndigheterna skulle samlas på samma ställe, eller om överflödig information om t.ex. innehållet i kommunikationer skulle behandlas av andra än berörda myndigheter. Det är viktigt att nämndens verksamhet utformas på ett sådant sätt att onödig behandling av personuppgifter och andra integritetsrisker undviks."

E-legitimationsnämndens verksamhet ska vidare "organiseras på ett sådant sätt att den nödvändiga behandlingen av personuppgifter minimeras och de registrerade på ett effektivt sätt kan utöva sina rättigheter. Utgångspunkten ska vara att personuppgiftslagens (1998:204) bestämmelser ska gälla."

XML Sweden anser att det står helt klart att E-legitimationsnämnden inte har utfört sitt uppdrag utan har tvärtom arbetat helt mot sina direktiv.

Lagstiftning

När E-legitimationsnämnden eller E-legitimationsutfärdaren (banken, Telia) hämtar adresser till de tjänsteleverantörer som en användare har anlitat är det fråga om "behandling av personuppgifter" enligt definitionerna i 3 § personuppgiftslagen (1998:204). Enligt 9 § samma lag får "c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål" och "d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in". I en jämförelse med fallet med "assymetric trust" är hämtningen av adresserna till tjänsteleverantörerna varken "berättigade ändamål" eller förenliga med det ändamål för vilket uppgifterna samlades in. Motsvarande föreskrifter finns i EUs nu gällande Dataskyddsdirektiv och i förslaget till ny EU-Dataskyddsförordning. SAML-standarden strider därför såväl mot gällande som aviserad lagstiftning.

XML Sweden anser därför att Svensk E-legitimation måste använda en annan standard än SAML.

Invändningar mot XML Swedens tolkning

Representanter för E-legitimationsnämnden hävdar att tjänstemän på Datainspektionen inte delar XML Swedens uppfattning. Det vore intressant att få ta del av Datainspektionens motiv och dokumentation för en sådan uppfattning. En representant för XML Sweden har i över ett halvår förgäves försökt få Datainspektionen att lämna synpunkter på E-legitimationsutfärdarnas hämtning av adresser till de tjänsteleverantörer som användaren anlitat.

Att SAML-standarden av någon anledning har använts i ett försöksprojekt i EU för offentlig upphandling, PEPPOL, förändrar inte saken. Det gör inte heller att SAML skulle bryta mindre mot Personuppgiftslagen.

XML Sweden lyfter fram standarder för småföretag

2012-10-29: I samband med att Utredningen om ökad it-användning i småföretag lade fram sitt delbetänkande Här finns mer att hämta – it-användningen i småföretag (SOU 2012:21) skickade AB XML Sweden ett remissvar, som bl.a. pekade på behovet av standarder. XML Sweden lyfte främst fram standarden för finansiella rapporter (årsredovisningar m.m.) XBRL och kopplingen till kontostandarden BAS och import- och export-standarden SIE. XML Sweden varnade även för standarden SAML 2.0, som används i E-legitimationsnämndens förslag till E-legitimation.

I utredningens slutbetänkande Små företag – stora möjligheter med it (SOU 2012:63) har utredningen fastnat för XML Swedens synpunkter och lagt fram följande förslag: Bolagsverket ges i uppdrag att initiera ett samarbete med föreningen SIE-gruppen, med målsättningen att XBRL och SIE-standarderna gemensamt utnyttjas fullt ut (sid 21-22, även sid 151-153).

Först i världen att certifieras av XII

2012-05-16: Erik Mjöberg, projektledare i XML Sweden, blev den 16 maj 2012 först i världen att certifieras av XBRL international, Inc. (XII).

Ny upplaga av XML 1.0

2009-01-07: W3C har publicerat en länk till XML Swedens översättning av Extensible Markup Language (XML) 1.0 (Femte upplagan) och därmed givit den en officiell status. Här finns även en länk till översättningen av Extensible Markup Language (XML) 1.1 (Andra upplagan). Sverige är hittills det enda land som har översättningar av båda de aktuella upplagorna av Extensible Markup Language.

2008-12-05: W3C (World Wide Web Consortium) gav den 26 november 2008 ut en ny upplaga av XML 1.0, Extensible Markup Language (XML) 1.0 (Femte upplagan). XML Sweden har idag som första organisation i världen översatt den nya specifikationen. Länk till översättningen finns i vänsterkolumnen.

Den femte upplagan lättar på restriktionerna för element- och attributnamn och möjliggör därigenom för slutanvändare att i XML 1.0 dra den väsentliga nyttan av det som hittills bara funnits i XML 1.1. Restriktionerna för element- och attributnamn ändras så att alla Unicode-tecken tillåts utom vissa som särskilt förbjuds. Tidigare upplagor av specifikationen har tillåtit en begränsad uppsättning tecken. Genom detta förfarande möjliggörs att nya tecken i kommande versioner av Unicode kommer att kunna användas i element-, attributnamn och id-attributvärden utan ändringar i XML-specifikationen.