Yttrande: Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62)

Övergripande synpunkter

Stockholms universitet tillstyrker betänkandets förslag som helhet, då det innebär en nödvändig reform för digitaliseringen av den offentliga sektorn. Universitetet menar emellertid att såväl kommunal som statlig förvaltning bör omfattas av förslaget, inte minst av likabehandlingsskäl. Goda och gemensamma standarder avseende elektronisk identifiering är en grundläggande förutsättning för att Sverige ska kunna bli en ledande nation inom digitalisering.

Då användningen av bland annat robotiserad processautomatisering (RPA) tilltar är det väsentligt att elektronisk identifiering även rörande mjukvara regleras på lämpligt sätt, vilket emellertid har ansetts falla utanför utredningens uppdrag (avsnitt 9.4.1, s. 148). Det bör inte föreligga några omotiverade rättsliga hinder för en sådan utveckling, som är central för digitaliseringen av förvaltningen. Denna fråga bör därför utredas snarast möjligt.

Inom EU pågår ett omfattande reformarbete avseende datalagstiftning och det är därför nödvändigt att undersöka om det föreligger behov av ytterligare anpassningar för svenskt vidkommande. Förslag har lämnats rörande dels generella bestämmelser på området i dataförvaltningsakten och dataakten, dels områdesspecifik lagstiftning i form av reglering av ett europeiskt hälsodataområde. Fler områdesspecifika förslag är vidare att vänta.

En fråga som inte omfattas av direktiven men likväl kan ha betydelse är om inte den föreslagna lagen om erkännande av medel för elektronisk identifiering skulle kunna regleras samlat med annan lagstiftning på området, såsom lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering. En samlad reglering underlättar överblickbarhet och tillgänglighet och tydliggör eventuella brister i regelverket, och till den kan fogas framtida regleringar på området.

Kommentarer till specifika förslag

Användning av privata e-legitimationer i tjänsten (avsnitt 9.2)

Stockholms universitet delar utredningens rättsliga bedömning avseende användning av privata e-legitimationer i tjänsten. Även om det kan finnas situationer där en användning av privat e-legitimation kan vara motiverad, bör utgångspunkten vara att genom reglering se till att den offentliga sektorn helt övergår till att använda e-tjänstelegitimationer. I detta sammanhang förordar universitetet övergångsbestämmelser som ger tydliga riktlinjer om när denna omställning ska vara fullbordad genom ikraftträdandebestämmelser.

Statliga myndigheter under regeringen ska tillhandahålla e-tjänstelegitimationer till anställda och uppdragstagare (avsnitt 9.3)

Stockholms universitet tillstyrker delvis förslaget. Till skillnad från utredningen menar universitetet att det framstår som ett motiverat avsteg från den kommunala självstyrelsen att genom lagstiftning ställa krav på att tillhandahålla e-tjänstelegitimationer av såväl säkerhets- och transparensskäl som i syfte att säkerställa effektivitet samt förtroendet för den offentliga sektorn i allmänhet. Gemensamma regler på området torde vidare kunna stärka det kommunala självstyret genom att underlätta den mellankommunala samverkan som ofta är nödvändig för att möta kompetens- och effektivitetskrav.

Det kan finnas behov av samverkan och informationsutbyte mellan statlig och kommunal förvaltning, t.ex. mellan Försäkringskassan och socialtjänsten. Att ha en tydlig standard för den statliga förvaltningen men inte för den kommunala sektorn kan försvåra ett effektivt och säkert elektroniskt informationsutbyte.

Kommuner använder sig i tilltagande omfattning av e-tjänster som RPA och i vissa fall även artificiell intelligens, t.ex. avseende försörjningsstöd och för att hantera orosanmälningar. Den här formen av system kan vara mycket ingripande för enskildas fri- och rättigheter. Situationen för tjänstemän inom socialtjänsten är vidare typiskt sett mer utsatt i jämförelse med tjänstemän med andra funktioner, och behovet av att skydda deras personliga integritet och säkerhet är större på detta område än på många andra. Det framstår därför som tveksamt att kommuner fritt ska få besluta om e-tjänstelegitimation ska förekomma eller om tjänstemän ska tvingas använda sin privata e-legitimation.

En annan aspekt som bör beaktas är att enskilda ofta har att göra med både statlig och kommunal förvaltning och kanske inte alltid har full insikt om skillnaderna. Det handlar om i vilken utsträckning som den enskilde kan känna tillit för de åtgärder och beslut som fattas där elektronisk identifiering och signering används. Kommunsektorn har inte minst ett betydande ansvar för verksamheter inom vård, skola och omsorg med stor betydelse för enskildas liv och verksamhet.

Ett ramverk för organisationsöverskridande användning av e-tjänstelegitimationer (avsnitt 9.4)

Stockholms universitet tillstyrker förslaget men vill som nämnts under övergripande synpunkter ovan betona betydelsen av att regler även tillkommer avseende elektronisk identifiering av mjukvara.

Förslaget öppnar upp även för privata aktörer som utför offentliga uppgifter. Detta tillstyrks av universitetet, som emellertid även ser det som angeläget att andra privata aktörer med koppling till den offentliga verksamheten ska kunna omfattas av systemet, t.ex. aktörer som bedriver detaljhandel med läkemedel, hälso- och sjukvård som inte är offentligt finansierad samt verksamhet inom djurs hälso- och sjukvård.

Översyn över det svenska tillitsramverket (avsnitt 9.6)

Stockholms universitet tillstyrker förslagen men menar att möjligheterna att utfärda och förnya e-tjänstelegitimationer på distans bör utredas närmare. Användning av biometriska metoder som ansiktsigenkänning kan bidra till säkra lösningar. Då detta emellertid kan framstå som oproportionerligt i förhållande till den enskildes personliga integritet bör andra, mindre ingripande alternativ först undersökas.

En framtida lösning för attributshantering (avsnitt 9.7)

Stockholms universitet delar utredningens bedömning men menar att någon form av tillsyn beträffande attributshanteringen hos arbets- eller uppdragsgivare också bör införas, vilket inte närmare diskuteras i förslaget.

Ökat stöd avseende användning av e-legitimationer (avsnitt 9.8)

Stockholms universitet instämmer i bedömningen om ökat stöd. Det framstår emellertid som rimligt att Myndigheten för digital förvaltning (DIGG) tillförs mer resurser för att kunna bidra, inte bara med rättslig vägledning utan också med samordning och nätverk för erfarenhetsutbyte mellan olika myndigheter.

Bättre förutsättningar för id-växling (avsnitt 9.9)

Stockholms universitet delar utredningens bedömning att en tydlig ansvarsfördelning är nödvändig och måste noga utarbetas, men detta behandlas inte närmare i förslaget. Att arbetsgivaren kan ha ett delansvar för grundidentifieringen vid id-växling framstår som rimligt, men måste enligt universitetets mening omgärdas med tydliga regler.

Detta beslut är fattat 2022-05-19 av rektor, professor Astrid Söderbergh Widding, efter beredning vid Juridiska institutionen och föredragning av utbildningsledare Rikard Skårfors.