Remiss av SOU 2021:62 Användning av e-legitimation i tjänsten i den offentliga förvaltningen

Arbetsgivarverket besvarar remissen både som förvaltningsmyndighet och arbetsgivarorganisation.

Arbetsgivarverket tillstyrker införandet av den föreslagna nya lagen och nya förordningen samt följdändringarna som föreslås i två andra förordningar. Arbetsgivarverket avstyrker dock de föreslagna skrivningarna om hantering av säkerhetsrisker och säkerhetsincidenter samt föreslår att skrivningarna omarbetas med beaktande av gällande regelverk för säkerhetsskydd. Nedan följer ytterligare kommentarer i några delar.

Privata e-legitimationer ska inte användas i tjänsten

Som framgår av utredningen så används privata e-legitimationer i tjänsten. Arbetsgivarverket instämmer i att det behöver klargöras om, och i så fall på vilket sätt, privata e-legitimationer får användas i offentlig förvaltning. Arbetsgivarverket instämmer också i slutsatsen i konsekvensutredningen, sid 183ff, att åtgärder behövs ifall denna användning inte är önskvärd.

Utredningen har på ett åskådligt sätt beskrivit nackdelarna för den enskilde och arbetsgivaren av en användning i tjänsten av privata e-legitimationer. För arbetstagaren handlar det bland annat om riskerna med exponering av personuppgifter samt möjliga brott mot banksekretessen och användarvillkor. Samma hänsyn gör sig gällande för personuppgiftsansvarig arbetsgivare liksom även frågor om informationssäkerhet och driftsäkerhet. Det arbetsrättsliga regelverket och övrigt skydd för den personliga integriteten måste också upprätthållas.

Skyddet för den enskildes integritet, som det bland annat uttrycks i den allmänna dataskyddsförordningen, liksom arbetsgivarens ansvar för personuppgifter nödvändiggör den gränsdragning som utredningen gör. Elektronisk legitimering kan sägas vara en samhällsviktig tjänst som förutsättning för arbete med krav på staten att säkra tjänstens pålitlighet. Arbetsgivarverket instämmer i slutsatsen att privata e-legitimationer endast undantagsvis ska kunna användas i tjänsten.

Arbetsgivaren ska tillhandahålla e-tjänstelegitimationer

I utredningen, sid 121ff, beskrivs hur det i en del andra länder finns ett fungerande flöde för hur en e-legitimation utfärdas till privatperson men också kan användas i tjänsten. Eftersom det flödet inte finns i Sverige återstår att tillskapa det eller att tydliggöra gränsen mellan privat användning och användning i tjänsten.

Skillnader i tillhandahållande av e-tjänstelegitimationer mellan olika arbetsgivare är svåra att rättsligt motivera och förklara för den enskilde arbetstagaren. Bästa sättet att åtgärda sådana skillnader och rättsligt mest korrekt är, som föreslås, att ställa krav på arbetsgivaren att tillhandahålla vad arbetstagaren behöver i tjänsten. Det är angeläget att obalanserna rättas till och att det nya regelverket träder i kraft senast vid föreslagen tidpunkt.

E-tjänstelegitimationer ska kunna användas

För att e-tjänstelegitimationer som tillhandahålls i tjänsten ska vara till nytta måste de också mötas av en organisationsöverskridande tillit. Det måste, som utredningen beskriver, finnas ett system för erkännande som tillhandahålls av offentliga aktörer. För att ett sådant system ska få genomslag måste systemet ta hänsyn till andra regelverk och brister som uppstår måste snabbt kunna åtgärdas.

I den föreslagna nya förordningen finns dels en metod för hantering av säkerhetsrisker och säkerhetsincidenter och dels en egen reglering vad gäller personnummer. Även om det är lätt att förstå syftena med förslagen är det tveksamt om det föreslagna går i linje med gällande regelverk avseende säkerhetsskydd och dataskydd.

Säkerhetsrisker och säkerhetsincidenter regleras i såväl lag som förordning och även i föreskrifter från MSB och Säkerhetspolisen. För att undvika överreglering och motstridiga skrivningar bör klargöras att DIGGs föreskriftsrätt gäller endast subsidiärt, för sådant som inte redan är reglerat och följer av andra regelverk. Arbetsgivarverket föreslår därför att skrivningarna i 3 samt 8-10§§ i den föreslagna förordningen anpassas så att motstridiga skrivningar och överreglering undviks. Möjlighet för DIGG att återkalla godkännande av medel för elektronisk identifiering som inte uppfyller säkerhetskrav behöver emellertid kvarstå.

Skrivningarna vad gäller användning av personnummer behöver ses över avseende förenlighet med den allmänna dataskyddsförordningen.

Stödbehovet skiljer sig mycket mellan olika aktörer

Genomförande av förslagen kräver stora förändringar som olika offentliga aktörer är olika väl rustade för. Med det följer också behov av riktat ekonomiskt stöd för att täcka initiala kostnader liksom behov av aktiv vägledning till myndigheterna. Båda delarna behövs för att utjämna skillnader och tillskapa förutsebarhet och likställiga villkor.

Hanteringen hos DIGG måste fungera för att utredningens förslag ska kunna genomföras. Eftersom hänvisning görs till IT-driftsutredningen (SOU 2021:97) utgår vi ifrån att överväganden skett också med beaktande av DIGGs föreslagna ledande roll i den samlade statliga IT-driften.

Beslut i detta ärende har fattats av generaldirektören Christina Gellerbrant Hagberg efter föredragning av verksjuristen Patrik Havermann. I den slutliga handläggningen deltog även enhetscheferna Lars Andrén, Ulrika Atterfors och Hedda Mann.