BankID ges ut av bankerna under ett gemensamt BankID-regelverk som uppfyller kraven i regelverket Svensk e-legitimation, tillitsnivå 3, som Myndigheten för digital förvaltning (DIGG) ansvarar för.
BankID och Svensk e-legitimation
En underskrift med BankID faller under betrodda tjänster i eIDAS-förordningen (EU 910/2014) som en avancerad elektronisk underskrift. Förordningen ger en BankID-underskrift en rättslig verkan inom hela EU enligt artikel 25. ”En elektronisk underskrift får inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter” och svensk lagstiftning är uppdaterad för att överensstämma med eIDAS-förordningen.
Stark kundautentisering enligt andra betaltjänstdirektivet
För finansiella tjänster som faller under andra betaltjänstdirektivet PSD2 (EU 2015/2366), så finns en delegerad förordning med tekniska krav på bl.a. stark kundautentisering (SCA) (EU 2018/389). En BankID-identifiering uppfyller kraven på en stark kundautentisering och en BankID-underskrift uppfyller kraven på dynamisk länkning.
BankID räknas som ett betalningsinstrument
Enligt tolkning av betaltjänstlagen (2010:751) räknas BankID som ett betalningsinstrument när BankID används för att initiera en betalningsorder. Då gäller också reglerna kring obehöriga transaktioner i betaltjänstlagen där betaltjänstleverantören har vissa skyldigheter att återställa konton samt betaltjänstanvändarens ansvar att skydda sina personliga behörighetsfunktioner (BankID).
När BankID används som en e-legitimation
När BankID används som en e-legitimation, exempelvis vid undertecknande av ett kreditavtal, är inte betaltjänstlagens regler tillämpbar. Användarens skyldigheter att skydda sitt personliga BankID och inte överlåta sitt BankID till någon annan person, regleras då via avtalet om BankID-tjänst användaren har med banken. Dessa aktsamhetsregler för användaren avtalas även till förmån för tredje man via så kallat tredjemansavtal.
Elektroniska vs. fysiska handlingar
Mycket av gällande regelverk och rutiner tar i betydande utsträckning utgångspunkt i pappersbaserad dokumenthantering, samtidigt bör en organisation tänka ”digitalt först” och snarare se den manuella och pappersbaserade processen som undantaget, för om det inte redan är så idag, så är det troligen enbart en tidsfråga. En elektronisk underskrift utgör i sig en elektronisk handling. Tryckfrihetsförordningen definierar en färdigställd elektronisk handling, så elektronisk handling är reglerat via grundlag.
GDPR
Hantering av personuppgifter är givetvis aktuellt när man använder BankID i sina tjänster. Rent praktiskt är utgivande bank personuppgiftsansvarig för sin behandling av personuppgifter och förlitande part är personuppgiftsansvarig för sin behandling. Det sker alltså en överföring av personuppgifter från en personuppgiftsansvarig (banken) till en annan personuppgiftsansvarig (förlitandepart) varje gång en registrerad väljer att använda sitt BankID i en e-tjänst.
Det behövs alltså inget personuppgiftsbiträdesavtal mellan bank och förlitandepart, men om förlitandepart köper en tjänst från en infratjänstleverantör så kan det behövas ett personuppgiftbiträdesavtal. Personuppgifter som behandlas är namn, personnummer men även namnet på utgivande bank finns med i ett BankID. Dessa uppgifter lämnas i identifieringsintyget eller i den elektroniska underskriften till förlitandepart, som själv sedan ansvarar för att behandla dessa i enlighet med gällande lagar och regler. En frågeställning som alla förlitandeparter måste ta ställning till är givetvis hur lång tid identifieringsintyg och underskrifter ska arkiveras och när de ska gallras.
Övrigt, missbruk och straffrättsligt ansvar
Svensk lagstiftning har vid ett antal tillfällen uppdaterats för att anpassas för elektroniska underskrifter. Senaste stora uppdateringen var anpassningarna efter eIDAS-förordningen då termen elektronisk underskrift infördes i svensk lagstiftning för att följa nomenklaturen i eIDAS-förordningen. Men det viktiga är att Brottsbalken är uppdaterad där brotten mot urkunder även inkluderar elektroniska urkunder (14 kap 1§ BrB). Lagstiftning om urkundsförfalskning, sanningsbrotten, förneka sin underskrift, osant intygande, osann urkund och missbruk av urkund gäller på samma sätt för en elektronisk urkund. Dessutom finns även nyare lagar som om olovlig identitetshantering samt olovlig befattning med betalningsverktyg som också kan tillämpas.
Observera att det är ett brott enligt brottsbalken, missbruk av urkund (15 kap 12§), att använda någon annans BankID så som gällande för sig, eller att lämna över ens BankID och säkerhetskod till en annan person för att missbrukas på det sättet. Det utgör även ett allvarligt avtalsbrott mot BankID-tjänsten. Lämna aldrig under några omständigheter över ditt BankID och säkerhetskod till någon annan person.