SUNET tillsammans med Vetenskapsrådet har gått ut med att SUNET blivit avstängda från Skatteverkets tjänst Mina Meddelanden.

Under de snart 16 år jag har arbetat med E-legitimationer i Sverige har jag flera gånger råkat ut för organisationer som tycker att de har hittat en superbra och billig genväg till att ge ut egna elektroniska identiteter med stark identifiering. Det brukar se ut så här:

1. Användaren loggar in med E-legitimation. Organisationen betalar under en krona för inloggningen.
2. Användaren skapar användarnamn och lösenord eller får ett inloggningscertifikat. En ny elektronisk identitet har skapats nästan gratis med väldigt säker identifiering.
3. Låt användaren logga in med den nya elektroniska identiteten och betala inte något mer under lång sikt.

Modellen kallas för “ID-växling” eftersom man “växlar” en elektronisk identitet mot en annan.

På det viset behöver organisationen varken ta kostnaden för att identifiera användaren (vilket ärligt talat är hiskeligt dyrt att göra ordentligt) eller inloggningen med E-legitimation. Det låter ju som en otroligt fin lösning!

Baksidan av lösningen är att affärsmodellen för E-legitimationer bygger på att utfärdaren investerar i kostnaden för identifieringen av användaren och hoppas få tillbaka pengarna (eller t.o.m en vinst, se mer under “Ayoy blir E-legitimationsutfärdare”) genom att ta betalt för när användaren loggar in hos andra organisationer.

Därför hade vi på såväl Posten som på Telia i villkoren till förlitande part att man inte fick utföra ID-växling och jag är helt övertygad om att bankerna har haft samma villkor ända sedan första början.

Jag måste lyfta på hatten för Sunet eftersom de utfört ID-växlingen via ombud och såvitt jag kan se inte brutit sitt ursprungliga avtal med Skatteverket. Maria Häll, chef för Sunet, säger att hon “inte ser att vår användning av Mina Meddelanden är i strid med gällande avtal”. Skatteverket hade förmodligen inte en tanke på att andra offentliga organisationer skulle utnyttja “Mina Meddelanden” på det sättet och har därför inte skrivit in det i avtalet.

Istället verkar E-legitimationsnämnden blivit tvungen att ändra i sitt regelverk och Skatteverket fick ändra i sina allmänna villkor för tjänsten så att de pekar på “Svensk e-legitimation” (d.v.s. E-legitimationsnämnden). På det viset verkar Sunet hamnat i situationen att de bryter mot avtalet med Skatteverket.

Ärligt talat, med den långa erfarenhet och stora kunskap Skatteverket har internt är jag förvånad över att de gick på den här niten. Jag minns hur vi från Posten diskuterade ID-växling med dem framför allt under första halvan av 2000-talet.

Så här gick den utökade validering till i eduID:

1. Gå till eduID och skapa konto, endera via e-post, Google eller Facebook-konto.
2. I menyn, klicka på bekräfta identitet. Genom att ange ditt personnummer skickas ett meddelande till din brevlåda hos “Mina meddelanden”.
3. Logga in hos “Mina Meddelanden” (vilket är Skatteverket) och läs meddelandet. Det består av en engångskod.
4. Logga in på eduID igen och ange engångskoden. Din identitet är bekräftad!

Jag brukar jämföra ID-växling med kopiering av hyr-film. Istället för att investera i en film (=köpa den) så hyr man den från närmsta uthyrningsfirma, gör en kopia av den och lämnar tillbaka orginalen. För en liten penning har jag då fått samma upplevelse som om jag köpt den.

Men fel.