BankID och Svensk e-legitimation

BankID ges ut av bankerna under ett gemensamt BankID-regelverk som uppfyller kraven i regelverket Svensk e-legitimation, tillitsnivå 3, som Myndigheten för digital förvaltning (DIGG) ansvarar för. Via Valfrihetssystem 2018 e-legitimering är BankID bundet till regelverket Svensk e-legitimering, och under 2020 kommer BankID även genomgå en granskning av DIGG för kvalitetsmärket Svensk e-legitimation.

eIDAS förordningen

En underskrift med BankID faller under betrodda tjänster eIDAS förordningen (EU 910/2014) som en avancerad elektronisk underskrift. Förordningen ger en BankID underskrift en rättslig verkan innom hela EU enligt atrikel 25. ”En elektronisk underskrift får inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter” och svensk lagstiftning är uppdaterad för att överensstämma med eIDAS förorodrningen.

Stark kundautentisering enligt andra betaltjänstdirektivet

För finansiella tjänster som faller under andra betaltjänstdirektivet PSD2 (EU 2015/2366), så finns en delegerad förordning med tekniska krav på bl.a. stark kundautentisering (SCA) (EU 2018/389). En BankID legitimering uppfyller kraven på en stark kundautentisering och en BankID underskrift uppfyller kraven på dynamisk länkning.

BankID räknas som ett betalningsinstrument

Enligt tolkning av betaltjänstlagen så räknad BankID som ett betalningsinstrument när BankID används för den typen av transaktioner. Då gäller också reglerna kring obehöriga transaktioner i betaltjänstlagen där betaltjänstleverantören har vissa skyldigheter att återställa konton. Som lagstiftningen om obehöriga transaktioner är utformad, så anses den enbart gälla mot den som givit ut betalinstrumentet vilket är en påtalad brist i lagstiftningen. Här måste den part som inte är utgivare av betalningsinstrumentet antingen åberopa tredjemansavtal i användarvillkoren BankID, eller argumentera för att BankID inte utgör något betalningsinstrument vid exempelvis ansökan av ett lån hos en tredje man. (Betaltjänstelagen bör enbart gälla transaktionen som sen eventuellt flyttar pengarna från kontot, och inte vara tillämplig på själva låneavtalet etc.)

Elektroniska handlingar vs. fysiska handlingar

Mycket av gällande regelverk och rutiner tar i betydande utsträckning utgångspunkt i pappersbaserad dokumenthantering, samtidigt bör en organisation tänka ”digitalt först” och snarare se den manuella och pappersbaserade processen som undantaget, för om det inte redan är så idag, så är det troligen enbart en tidsfråga. En elektronisk underskrift utgör i sig en elektronisk handling. Tryckfrihetsförordningen definierar en färdigställd elektronisk handling, så elektronisk handling är reglerat via grundlag.

GDPR

Hantering av personuppgifter är givetvis aktuellt när man använder BankID i sina tjänster. Rent praktiskt är utgivande bank personuppgiftsansvarig för sin behandling av personuppgifter och förlitande part är personuppgiftsansvarig för sin behandling. Det sker alltså en överföring av personuppgifter från en personuppgiftsansvarig (banken) till en annan personuppgiftsansvarig (förlitandepart) varje gång en registrerad väljer att använda sitt BankID i en e-tjänst. Det behövs alltså inget personuppgiftsbiträdesavtal mellan bank och förlitandepart, men om förlitandepart köper en tjänst från en infratjänstleverantör så kan det behövas ett personuppgiftbiträdesavtal. Personuppgifter som behandlas är namn, personnummer men även namnet på utgivande bank finns med i ett BankID. Dessa uppgifter lämnas i legitimeringsintyget eller i den elektroniska underskriften till förlitandepart, som själv sen ansvarar för att behandla dessa i enlighet med gällande lagar och regler. En frågeställning som alla förlitandeparter måste ta ställning till är givetvis hur lång tid legitimeringsintyg och underskrifter skall arkiveras och när de skall gallras.

Juridik övrigt samt missbruk och straffrättsligt ansvar

Svensk lagstiftning har vid ett antal tillfällen uppdaterats för att anpassas för elektroniska underskrifter. Senaste stora uppdateringen var anpassningarna efter eIDAS-förordningen då termen elektronisk underskrift infördes i svensk lagstiftning för att följa nomenklaturen i eIDAS förordningen. Men det viktiga är att Brottsbalken är uppdaterad där brotten mot urkunder även inkluderar elektroniska urkunder (14 kap 1§ BrB). Så lagstiftning om urkundsförfalskning, sanningsbrotten, förneka sin underskrift, osant intygande, osann urkund och missbruk av urkund som sanningslöst åberopas gäller på samma sätt för en elektronisk urkund. Dessutom finns även den nya lagen om olovlig identitetshantering som också kan tillämpas.

Du kan läsa mer i eSams vägledningar.