Vad krävs för att införa eIDAS eID i EU?

Tanken på att införa elektroniska legitimationer eller eID i hela EU låter mycket lovande. Redan på en grundläggande nivå gör e-legitimationer det möjligt för tusentals tjänsteleverantörer att relativt enkelt erbjuda sina tjänster på nätet. Vissa EU-länder, t.ex. Sverige, Italien och Estland, har faktiskt redan infört sådana system med stora delar av befolkningen som användare. Resultatet? Det fungerar, det är säkert och mycket effektivt.

 

Detta leder till en enkel fråga: när och hur kommer eIDAS e-legitimationer att bli vanliga? Varför investerar inte privata företag mer, och varför ser de flesta medlemsländer få resultat? Även om visionen är tydlig finns det många hinder på vägen.

 

Riktlinjer för e-legitimation är en nationell angelägenhet

 

En del av problemet är bristen på koppling mellan nationell lagstiftning och EU/eIDAS-förordningen. När det gäller e-legitimation förväntar sig eIDAS att medlemsstaterna ska fastställa bestämmelser och standarder för identifiering på distans. Därefter bör medlemsstaterna granska varandras system och harmonisera dem.

I huvudsak inbjuder detta system företrädare för statliga myndigheter att upprätta egna riktlinjer. Det blir diskretionära kompromisser utan någon faktisk lagstiftning eller standarder. Och små länder saknar förmåga att driva standarder och ha tillräcklig kunskap inom myndigheter. Dessutom kan medlemsstaterna ha mycket olika agendor, vilket skapar ännu mer problem när det gäller att använda e-legitimation på internationell nivå.

 

Oklar nationell lagstiftning om identifiering på distans.

 

I Sverige har Myndigheten för digital förvaltning (DIGG) skapat ett krav på leverantörer av eID-tjänster. Det är en egen tolkning på hög nivå av PKI och ETSI-standard. Trots detta innehåller den få eller inga explicita krav liknande ETSI. Dessutom skyddar de svenska DIGG-ramverket även nationella system som BankID genom att uppfinna ad hoc-principer som förbjuder skapandet av ett certifikat baserat på ett annat certifikat. Detta strider mot den grundläggande TSP-principen om återanvändning av certifikat i eIDAS artikel 24, 1b och 1c.

 

Lagstiftningsfrågan gäller de flesta EU länder. För närvarande har många av EU:s medlemsstater ingen lag eller förordning om identifiering på distans. Detta lämnar många obesvarade frågor om användningen av kryptografiskt stödda ID-handlingar och biometri. Det är också oklart hur man ska uppfylla olika kravnivåer (low-substantial-high) för eIDAS eID. För att hitta exempel på länder som står inför sådana problem behöver man inte leta länge. Problemet är uppenbart även i väletablerade medlemsländer som Tyskland och Frankrike.

 

Låg aptit för finansiering och innovation

 

Med alla de problem vi just tagit upp är Sverige knappast ett undantag - snarare regeln.

Betrodda tjänsteleverantörer med tydliga regler kring identifiering på distans finns, men få medlemsstater vidtar åtgärder för att stödja dem. Trots detta är identifiering på distans i digitaliseringens tidevarv ett viktigt konkurrensområde - och kommer att fortsätta att vara det. Det kommer att påverka affärsmodeller, prissättning och utnyttjandet av digitala metoder, men vi gör inte tillräckligt för att skapa förutsättningar i dessa förändringar. Detta skapar en miljö med liten förutsägbarhet, klarhet och investeringsvilja.

I Tyskland anser man att eID framförallt p g a ansvarsaspekter skall ligga i statens händer. Det lämnar lite utrymme för privata aktörer, som skulle kunna investera och driva innovation. Det strider också mot grundtanken med eIDAS-principerna genom att eID utformas som en ren nationell angelägenhet.

I Sverige (och de flesta andra EU-medlemsstater) får leverantörer av e-legitimationer endast tillhandahålla e-legitimationer till medborgare skrivna i medlemslandet ifråga. Om en e-legitimationsleverantör vill tillhandahålla sin produkt till fler än ett EU-land måste de ansöka om ett e-legitimationsskepp i varje land. Om bestämmelserna är olika och oförutsägbara kommer inga företag att göra detta. Den italienska statliga tillsynsmyndigheten AGID kräver till exempel 5 miljoner euro i kapital och ett italienskt dotterbolag. Vem skulle ge sig in på en ny marknad med sådana villkor?

Sverige har endast bekräftat en ny eID-leverantör sedan eIDAS trädde i kraft 2016 (exklusive den etablerade leverantören BankID). Införandet av e-legitimationer går långsamt även i andra EU-medlemsstater. I praktiken tenderar det hittills bara att ske när banksystemen migrerar till eID (Norden, Baltikum och Italien).

 

Lösningen finns, men vi behöver förändring

 

Att lagstifta och genomföra eID är en komplex uppgift, men det är ingen raketforskning. Faktum är att EU redan har utformat en del av lösningen i sitt senaste förslag till en EU-plånbok.

Under tiden finns här ZealiD:s lösning för att få fart på eID:

  1. Harmonisera och välj gemensamma standarder (ETSI) för identifiering på distans för eID, TSP och EU-plånböcker i alla medlemsstater. Franska PVID är redan ett steg i denna riktning. eIDAS 2.0 ska göra det möjligt för Europeiska kommissionen att bekräfta en omfattande ETSI-standard.
  2. Efter 1 bör organ för bedömning av överensstämmelse (som styrs av ETSI-standarder) se över dessa standarder. Potentiellt skulle detta ansvar även kunna tillhöra organ för bedömning av biometrisk överensstämmelse.
  3. Leverantörer av e-legitimationer ska tillåtas utfärda identiteter till alla EU-medborgare. Detta skulle vara en brytpunkt för innovation och bjuda in den privata industrin att driva införandet av e-legitimationer på ett mer konsekvent och effektivt sätt än vad staterna gör.

Läs mer: