E-legitimationsnämnden tar timeout

Årets E-legitimationsdag har kommit och gått. Under en dag samlas offentliga och privata intressenter för att dryfta elektronisk identifiering och signering. Till saken hör att det nu är bråttom, för 30:e juni är sista dagen för avropsavtal baserat på ramavtalet från 2008.

Det jag tog med mig från E-legitimationsdagen är:

  • E-legitimationsnämnden tar timeout angående federationen och återkommer senare.
  • E-legitimationsnämnden kommer att ta fram en “övergångslösning” som kommer att annonseras under de kommande veckorna.
  • Det går rykten om en statlig utfärdare av eID.
  • E-legitimationsnämnden börjar öppna upp sig för dialog.

Att ta timeout

E-legitimationsnämnden fick uppdraget från SOU 2010:104 att bygga en stor och underbar federation som ska kunna hantera hundratals utfärdare och tusentals förlitande parter. SOU’n var ett recept som “bara” var att implementera.

SOU’n fick utstå en hel del kritik, bl.a. “denna modell är inte verklighetsförankrad.” (Finansiell ID-Teknik) och “med den finns en stor risk för att TeliaSonera inte kan försvara fortsatt utfärdande av e-legitimationer på den svenska marknaden” (TeliaSonera). Det är därför inte förvånande att utgivarna inte har kastat sig in i federationen.

Samtidigt har även de offentliga organisationerna tvekat med införandet som skulle blivit komplext och kostsamt och i praktiken inte tillföra något verksamhetsvärde i förhållande till eID 2008.

Nu drar sig E-legitimationsnämnden tillbaka och ska återkomma “senare” med en uppdaterad lösning. Vad “senare” betyder är höljt i dunkel men Eva Ekenberg (kanslichef E-legitimationsnämnden) använde uttrycket “ett par år” i en av paneldebatterna.

Ett exempel på vad de behöver fundera över är pristrappan eftersom den bara sträcker sig till 120 miljoner transaktioner men antalet transaktioner (enligt BankID-statistiken) har redan passerat det.

Jag tror att E-legitimationsnämndens lösning måste vara mycket mer slimmad och “mager” när man går igång. Med en bra dialog med både de publika organisationerna och leverantörerna, en hög förändringstakt och låg svansföring kan man lyckas göra rätt saker på ett säkert och kostnadseffektivt sätt. Utgå ifrån dagens problem och lös dem ett efter ett i prioriteringsordning. Eftersom juridik trumfar teknik vilken dag som helst i veckan, måste man börja med det upphandlingstekniska.

Övergångslösningen

För att inte de offentliga organisationerna ska hamna i limbo utan tillgång till e-legitimationer lanserades “övergångslösningen” under E-legitimationsdagen. E-legitimationsnämnden har tidigare använt uttrycket “övergångslösning” för ett tilläggsavtal till sitt stora avtal för utfärdare. På så vis var utfärdarna tvungen att underkasta sig regelverket med allt vad det innebär innan de kunde leverera.

Jag tror inte att det är vad “övergångslösning” betyder längre utan dagens teknik med dagens prismodell, som styrelseordföranden för Finansiell ID-Teknik BID AB (slarvigt kallad BankID) sa i en paneldebatt.

Rent praktiskt blir det en konkurrenssituation där E-legitimationsnämnden går in och konkurrerar med leverantörerna på Kammarkollegiets ramavtal “Informationsförsörjning”. För en offentlig organisation, vad skiljer att köpa dagens teknik med dagens prismodell från E-legitimationsnämnden eller avropa på Kammarkollegiets ramavtal?

Den största skillnaden är att Kammarkollegits ramavtal har både leverantörer och prismodeller färdiga. E-legitimationsnämnden ska däremot påbörja sin upphandling inom några veckor och inga detaljer finns tillgängliga.

Om jag företrädde en offentlig organisation skulle jag välja Kammarkollegiets ramavtal.

Andra konsekvenser av timeout

När Skatteverket senast upphandlade nästa period på sitt ID-kort till allmänheten hade de som krav att leverantören skulle erbjuda Svensk e-legitimation på korten. Vad händer nu när Svensk e-legitimation läggs i träda för vidare utredning? Kommer leverantören att ens kunna anmäla sig till Svensk e-legitimation? Kommer upphandlingen då att överklagas?

Dialog

Jag har tidigare skrivit om att E-legitimationsnämnden inte varit intresserad av att föra en dialog, varken med utfärdarna eller med de offentliga organisationerna.

Jag har skrivit länge om E-legitimationsnämnden på den här bloggen och jag har aldrig haft någon kontakt med nämnden om bloggen, t.ex. för att de skulle vilja korrigera något. Att de läser bloggen kan jag se i loggarna… Det är klart, det kan betyda att jag haft rätt i alla detaljer i alla lägen men den sannolikheten ser jag som ganska liten… smile

Jag får nu blandade signaler från E-legitimationsnämnden.

Å ena sidan stod nämndens ordförande på scen och pratade om vikten med dialog och under dagen kom flera personer från nämnden kom fram till mig och pratade om bloggen. Jag tyckte också det var ett bra miniseminarium om framtida krav där nämndens representanter (Eva S och Britta J) höll igen och försökte få oss som satt där att prata.

Å andra sidan var det tydligt under seminariet om säkrare e-legitimationer att E-legitimationsnämnden har beslutat om de tre tillitsnivåerna och nu får faktiskt alla Sveriges offentliga organisationer se till att mappa in sina system och sin information till tillitsnivå 3. Det bjuder inte in till dialog.

Det kan betyda att bytet av ledamöter i E-legitimationsnämnden nu börjar få effekt och att E-legitimationsnämnden kommer att kunna ta till sig vad myndigheterna behöver och vad leverantörerna kan leverera.

Jag hoppas verkligen att jag tolkar händelserna på rätt sätt och att E-legitimationsnämnden nu möter upp både utfärdare och offentliga organisationer med en bra dialog och låter alla dela med sig av sina erfarenheter.

Statlig utfärdare av eID

Något som blev tydligt utanför mötesrum bland kaffekoppar och vinglas är att det pratas mycket om en statlig utfärdare av e-legitimation. Inget verkar vara bestämt ännu men ett tips från sidan är att det kommer att läggas certifikat (eller liknande) på nationella ID-kortet och på Skatteverkets ID-kort. På en direkt fråga ville inte Näringsdepartementet kommentera.

Jag är väldigt kluven i den här frågan.

Å ena sidan tror jag det är kostnadsineffektivt att sätta upp en statlig utgivare eftersom den inte kommer att få någon draghjälp från privata aktörer, varken med intäkter eller teknisk utveckling. Staten har inte heller en massa identifierade individer med elektroniska inloggningslösningar. Som Anders Ekholm (Institutet för framtidsstudier) uttryckte det så har myndigheter ibland en förmåga att göra det som är bra för myndigheter, inte vad som är bra för medborgare.

Å andra sidan tycker jag att staten måste fånga upp de innevånare som t.ex. inte kan få bli bankkunder och därmed inte kan få t.ex. BankID.

Jag har tidigare ansett att det varit bra från flera perspektiv att Telia har fått möjlighet att ge ut sina e-legitimationer via Skatteverket. Det har gett kundgruppen tillgång till en kommersiell e-legitimation och samtidigt har konkurrensen på e-legitimationsmarknaden understötts.


Nästa inlägg ("Lessons Learned From the Swedish Income Tax Return 2016") >>
<< Tidigare inlägg ("Let’s Encrypt & AWS Certificate Manager - Cutting out the (Trusted) Third Party")

Share This:    
John Allberg

John har arbetat med elektronisk identifiering och e-legitimationer sedan 2000. Först på Posten eSäkerhet mellan 2000 och 2004, sedan på Telia mellan 2004 och 2008. Från 2009 är han konsult inom området och 2010 grundade han Ayoy tillsammans med Oscar Jacobsson.