Digital Identity Wallet - Vad innebär EU:s digitala plånbok?

De flesta av oss anser nog att nya tekniska produkter och tjänster är till vår fördel, samtidigt som vi är medvetna om att tekniken kommer med vissa risker. Digital Wallet är ett nytt initiativ från EU-kommissionen som kommer göra det möjligt att kunna identifiera sig i olika länder hos en rad olika organisationer. Vilka är då fördelarna med detta och vilka risker kommer med en sådan utveckling? 

Genom digitala tjänster kan vi komma åt och dela information smidigt och göra allt från att checka in på flyg till att deklarera vår skatt. Det är effektivt inte bara för oss medborgare utan även för organisationer som kan lägga resurser på annat i stället för att behöva ha personer som hanterar dessa processer manuellt. Vid användandet av dessa tjänster, särskilt hos myndigheter eller samhällsviktiga organisationer som banker, är det viktigt att vi på ett säkert och smidigt vis kan identifiera oss.

I Sverige har vi exempelvis BankID som på kort tid blivit en standard för många verksamheter vid identifiering. Enligt deras hemsida använder 99.2 procent av svenskar mellan 18–65 sig av BankID på över 6 000 digitala tjänster.  Den digitala identifieringstjänsten kan däremot inte användas i andra länder än Sverige. Freja+, som också är en svensk identifieringstjänst, har å andra sidan granskats inom ramen för eIDAS-förordningen och går att använda gränsöverskridande. Dock kräver detta att organisationer i andra medlemsländer också implementerar användning av Freja+. Nu har EU-kommissionen som en del av Digital Decade kommit med ett nytt förslag om ”Digital Identity Wallet” som innebär att varje medlemsland ska ta fram en digital identifieringslösning som ska kunna användas och accepteras för att identifiera sig hos olika tjänster inom hela unionen.  

Finns det emellertid risker med digitala plånböcker? Vår erfarenhet av BankID visar att vi inte bara fått de positiva effekterna av en digital identifieringstjänst, det har även medfört nya risker och faror. Många har blivit utsatta för bedrägerier med privatekonomiska svårigheter som följd. Det är lärdomar vi måste ta med oss för att skydda EU-medborgare i den fortsatta utvecklingen. Är det verkligen bra att vi digitaliserar allt och har åtkomst och möjlighet att utföra processer som kräver hög säkerhet på distans?  

Kan en plånbok vara digital?  

Vad är då en Digital Identity Wallet egentligen? Det är nämligen inget nytt koncept. Enligt Wikipedia är en digital plånbok: 

”e-Wallet är en digital anordning för att möjliggöra e-handel, dvs. försäljning, köp och byten av produkter, tjänster och information oftast över Internet eller andra datornätverk. Det kan ske via dator eller smartphone och anordningen kan även användas för att autentisera användare och styrka dennes ålder” 

EU-kommissionens förslag innebär en uppdatering av eIDAS förordningen och handlar om att ta fram en digital mobilapplikation för varje land inom EU som kan användas av de som vistas inom unionen för att säkert identifiera sig själva vid användandet av olika tjänster. Mobilapplikationerna ska vara utformade så att den ger individen full kontroll över de personuppgifter som denne väljer att dela med sig av vid identifiering eller när denne loggar in på offentliga sidor. Exempelvis kommer individer själva få välja om de vill dela med sin exakta ålder vid identifiering. Detta kan ske genom att organisationen individen loggar in på får information att denne är över 18 år men inte exakt vilken ålder. Genom att ha ett säkert system för att identifiera sig hos offentliga och privata bolag ska individer ha möjlighet att få åtkomst till tjänster och kunna ta del av och dela uppgifter med olika organisationer.  

Förordningen kommer att vara tvingande för offentliga bolag och en rad privata bolag inom samhällsviktiga områden, såsom energi, bank, social säkerhet, hälsa, och infrastruktur samt sociala medieplattformar att acceptera applikationerna, oavsett medlemsland, vid inloggning till deras tjänster. 

Det innebär att plånböckerna kommer kunna användas inom unionen för att exempelvis:

1. Öppna ett bankkonto.
2. Lämna in skattedeklarationer.
3. Ansöka om universitet
4. Lagra ett recept från läkaren som kan användas överallt i Europa.
5. Bevisa din ålder.
6. Hyra en bil med ett digitalt körkort.
7. Checka in på ett hotell.
8. Läsa din läkarjournal oavsett om ditt sjukhusbesök skett i Sverige eller Frankrike.
   
   

Varför anser EU att eIDAS behöver uppdateras? I huvudsak kan orsakerna sammanfattas med: 

1. För att möta nya marknadsbehov och användningsområden: Teknologi och användarbehov utvecklas ständigt. Förordningen har uppdaterats för att anpassa sig till de senaste tekniska och marknadsmässiga utvecklingarna för att säkerställa att elektroniska identitetstjänster förblir relevanta och effektiva.
   
   I dagsläget använder vi oss redan av liknande tjänster på våra smartphones för att lagra boardingkort och betalkort. Syftet med initiativet är att öka harmoniseringen och möjligheterna att säkert och smidigt kunna identifiera sig hos alla möjliga typer av tjänster genom en säker applikation. 
   
   Den tidigare förordningen täckte exempelvis inte vissa användningsfall eller elektroniska attribut (som läkarintyg eller yrkeskvalifikationer). Behovet blev tydliggjort under corona-epidemin då allt fler tjänster flyttades till digitala världen.
   
   
2. För att främja gränsöverskridande användning: Syftet med uppdateringen är även att sätta krav på samtliga medlemsländer att erbjuda sina medborgare en elektronisk identifieringstjänst som går att använda gränsöverskridande. Exempelvis finns Freja+ nationellt i Sverige, med möjligheten att användas gränsöverskridande. Dock kräver det att fler länder och organisationer inom dessa länder accepterar och implementerar identifieringstjänster såsom Freja+. I flera medlemsländer finns det anmärkningsvärt nog inga elektroniska identifieringstjänster, eller så utnyttjas dessa inte.  
   
   
   

Bör en plånbok vara digital?  

Även om det finns många, inklusive EU-kommissionen, som tycker att detta är ett bra initiativ, så finns det nog ingen som anser att detta är helt riskfritt. Online-bedrägerier och andra säkerhetshot blir allt vanligare och det är viktigt att säkerställa att EU-kommissionens initiativ inte blir föremål för otillbörligt utnyttjande där individer råkar illa ut. Trots att initiativet gör det möjligt att få tillgång till olika typer av information smidigt, oavsett tid på dygnet, går det att se, likt gällande BankID, att otillbörlig tillgång genom phishing eller telefonbedrägerier gör det möjligt för kriminella att utnyttja den mänskliga faktorn och komma åt skyddsvärd information.  

Dessutom kan det vara svårt för individer att kvantifiera olika typer av cyberrisker och vad det innebär för individer. Det gäller både hur viktigt det är för individer med en säker lösning, men även kring de potentiella integritetsriskerna med att använda ett sådant verktyg. Det senare kan både gälla kring säkerheten och risken för otillbörligt utnyttjande av individer samt otillbörlig spårning och behandling av individers personuppgifter.   

EU-kommissionen avser dock att skapa ett system där säkerheten ska vara hög genom en gemensam ”toolbox” för samtliga medlemsländer. Tanken är att alla medlemsländer ska väga in och ta fram vägledningar kring säkerheten för systemet för att stärka skyddet vid användandet av de nya applikationerna. Detta innebär att det kommer finnas en ökad insats av samtliga medlemsländer att se till att systemet är säkert och skyddar individernas fri-och rättigheter.  

Trots olika säkerhetslösningar spelar den mänskliga faktorn emellertid alltid en roll, vilket kan åsidosätta komplexa tekniska lösningar. IMY:s rapport visar att personuppgiftsincidenter ofta orsakas av mänskligt beteende och vi alla har väl släppt in en ”kollega” till kontoret utan att vara säkra på att vi känner personen. På samma sätt är det vanligt att vi råkar ge ut vårt BankID till en illasinnad individ (eller för den delen en AI?). Att teknisk utveckling kommer med vissa risker betyder däremot inte att tekniken inte ska fortsätta utvecklas. I stället finns det ett ökat incitament att lägga mer press på hur organisationer implementerar tekniska lösningar, tillsammans med olika organisatoriska lösningar och medvetenhetskampanjer för att öka kunskapen om hur digitala lösningar kan implementeras säkert.  

Frågan som i början av texten ställdes om allt behöver digitaliseras och om det är bra att vi får tillgång till allt hela tiden kan därför besvaras med (som vi jurister gillar att säga) ”det beror på”. Det kommer aldrig gå att hitta den perfekta lösningen direkt, men genom att som företag eller myndighet ha ett riskbaserat tillvägagångsätt går det att implementera olika åtgärder och informationsinsatser för att på ett säkert sätt använda sig av de nya identifieringstjänsterna. Exempelvis kanske ytterligare säkerhetsåtgärder bara behövs för särskilt känslig information som gör att individer inte kan utföra vissa funktioner mitt på natten, eller att det finns ett ytterligare  steg för att kontrollera att det i dessa fall verkligen är den personen ifråga.  

Individerna som använder Digital Identity Wallet och de organisationer där individen legitimerar sig med applikationen tjänar på att det är säkert, likaså samhället i stort i samtliga medlemsländer. Tillsammans finns det därför starka incitament för att möjliggöra e-identitetsplånböckerna så att dessa kan användas på ett säkert sätt.

Nästa steg 

EU-kommissionen har lagt fram ett förslag som kommer att revideras med säkerhetsinstruktionerna. Samtidigt som EU-kommissionen arbetar med att uppdatera lagstiftningen arbetar de även med en "toolbox" av standardiserade tekniska specifikationer och riktlinjerför att säkerställa en säker implementering av applikationerna. Sannolikt kommer vi snart i praktiken se vilka fördelar initiativet för med sig, och därmed även vilka utmaningar som vi kommer att behöva hantera framöver.

Vill du lära dig mer och hålla dig uppdaterad om EU:s satsning på Digital Decade och alla tillhörande regelverk? Då är det här inlägget din kunskapsportal.