Webmaster (webmaster@xml.se)
Elektroniska signaturer har använts i datavärlden under mer än 20 år, men ännu finns ingen övergripande lösning på frågan. En sådan lösning är inte lätt. Den måste tillgodose en mängd krav. Då talar vi inte bara om mjuka eller hårda certifikat eller nyckelpar - utan framför allt om att kunna ersätta och samtidigt förbättra hela den infrastruktur av förtroenden som finns uppbyggd i pappersvärlden. Stora organisationer som t.ex. W3C har gått bet på frågan. Goda försök har gjorts som täckt viktiga delfrågor t.ex. EUs direktiv 1999/93/EC, OASISs SAML och IDABCs program A Pan European Interoperable Electronic Identity Management System. Men på många håll har kommersiella dellösningar skapats som inte fungerar i ett större sammanhang. Ett sådant exempel är bankernas E-legitimation.
Det sägs att E-legitimation har fungerat bra för enskilda medborgare i kontakt med myndigheter. Företrädarna för E-legitimation vill att Sverige ska lansera E-legitimation inom ramen för EU-samarbetet.
Men E-legitimation brister i grundläggande avseenden.
Enligt 2 § lagen (2000:832) om kvalificerade elektroniska signaturer gäller för en elektronisk signatur som "gör det möjligt att identifiera undertecknaren" (avancerad elektronisk signatur, b) också att den "ska vara skapad med hjälpmedel som endast undertecknaren kontrollerar" (avancerad elektronisk signatur, c).
Enligt villkoren i avtalet mellan utställaren och den som hämtar ut en E-legitimation kan utställaren när som helst stänga av innehavarens identitet. Visserligen under vissa villkor, men banken har vidare enligt villkoren rätt att ändra dessa villkor när som helst utan uppsägning. E-legitimationen har enligt avtalet begränsad giltighetstid, som banken bestämmer. E-legitimation måste därmed anses som lagstridig!
I E-legitimationssystemet är inte parterna, t.ex. myndigheten eller medborgaren jämställda. Om ett dokument har skickats till en myndighet eller inte, eller om det har skickats i tid finns inga medel för medborgaren att visa. Han är helt i händerna på myndighetens goda vilja att spåra dokumentet eller den tid då det lämnades in. Och om E-legitimationen upphör att gälla finns överhuvudtaget ingen spårbarhet.
Tidsstämpel saknas i E-legitimationssystemet, likaså en funktion för att kunna kontrollera att mottagande myndighet har gjort rätt. En lösning kan t.ex. vara ett notariat (en tredje opartisk part), som också får en kopia av de transaktioner som gjorts - och när de gjorts. Sådana lösningar finns redan idag, men i E-legitimationssystemet används de inte!
En E-legitimation utställd av Telia behöver endast en faxbekräftelse för att hämtas ut - ingen identifiering genom legitimation eller på annat sätt!
Om en anställd i ett företag signerar en transaktion eller ett dokument, krypteras det vanligtvis. Utförs detta med en E-legitimation och anställningen upphör, tappar företaget kontrollen över transaktionen/dokumentet. För företagen är det därför viktigt att själva kunna utfärda certifikat för sina anställda och vidare knyta dessa till roller med rättigheter, t.ex. rätten att attestera fakturor upp till 40 000 kr eller t.ex. ett halvt prisbasbelopp. (I Elektronisk identifiering och underskrift i Sverige hänvisar Verva till rollregister, sid 50. Men det är omöjligt att via register återge exakt de roller som organisationer önskar skapa. Det är som att skapa normer för organisationernas behörighetssystem.)
E-legitimation har bara en roll, medborgarrollen, som innebär att man signerar under obegränsat personligt ansvar. En anställd i ett företag eller en styrelseledamot agerar inte under personligt ansvar, utan handlar rättsligt i den roll hon eller han lagligen har blivit tilldelad av företaget genom anställningen eller utnämningen. E-legitimation klarar inte sådana rättsliga förhållanden.
Om E-legitimation ska användas av ett företag, t.ex. en webb-shop, måste företaget teckna avtal med Handelsbanken, Swedbank, Nordea och TeliaSonera för att alla E-legitimationer ska gälla på webb-shopen. Om man följer avtalen i upphandlingarna på den offentliga sidan, kommer det att innebära miljoninvesteringar för webb-shopen. Detta gör att E-legitimation inte kommer att nå ut på den privata marknaden.
I avtalen som den enskilde gör med banken för att få ut sin E-legitimation finns inte något som förhindrar banken att kontrollera när och var användarna har nyttjat sin legitimation. Det finns inte heller något som förhindrar banken att sälja sådan information. T.ex. kan banken sälja information om ansökan om dagisplats till försäljare av blöjor. Överensstämmer detta med grundlagens avsnitt om personlig integritet?
Verva har arbetat på att E-legitimation ska introduceras i hela EU. Ska Sverige verkligen exportera en produkt med så tvivelaktig tillämpning av den personliga integriteten?
Av ovan angivna skäl bör E-legitimation fasas ut och endast användas inom ramen för andra lagliga, rättssäkra system som fungerar i en infrastruktur med delegerade rättigheter. Bankerna måste förhindras från att använda information om den enskildes nyttjande av "sin" E-legitimation
Copyright © 2008, AB XML Sweden (info@xml.se)
Webmaster (webmaster@xml.se)