Ladda ner i pdf-format (nytt fönster) - E-delegationen

E-NÄMNDEN 04:02 1 (19) 

Dnr 2004/8-3 

Grundläggande vägledning för 

myndigheternas användning av elegitimationer 

och elektroniska underskrifter 

Denna Grundläggande vägledning för myndigheternas användning av elegitimationer 

och elektroniska underskrifter (e-nämnden 04:02) har 

fastställts av e-nämnden den 9 juni 2004. Gustaf Johnssén, kansliansvarig, 

deltog i den slutliga handläggningen. 

Alf Nilsson 

Innehåll 

/Gustaf Johnssén 

Inledning 2 

1 Det samordnade området 2 

2 Myndighet som avropar ID-tjänster 4 

3 Utfärdare av e-legitimationer 5 

4 Innehavare av e-legitimationer 9 

Fysiska personer som sökande och innehavare av e-legitimationer 9 

Förlitande part 11 

5 Myndigheter 11 

Myndigheten som sökande och utställare 11 

Myndigheten som förlitande part 12 

Myndigheten som tillhandahållare av e-tjänster m.m. 13 

6 Helhetslösningar m.m. 15 

7 Säkerhetsskydd och standarder, m.m. 15 

Bilaga 1 – Begrepp och definitioner 17

Inledning 

Denna vägledning gäller för användningen av ID- och infratjänster som 

upphandlats av Statskontoret. Dessa tjänster avses stödja 24-timmarsmyndigheterna 

vid införandet av e-legitimationer och elektroniska underskrifter 

m.m. Användare av dessa tjänster är myndigheter och fysiska personer i 

deras egenskap av privatpersoner eller företrädare för företag, t.ex. 

firmatecknare eller ombud. Andra sätt att företräda ett företag omfattas inte 

av vägledningen och har heller inte upphandlats. Vägledningen anger inte 

heller vilka krav som en myndighet skall ställa på informationssäkerheten i 

det enskilda fallet. Den internationella utvecklingen och frågor om informationssäkerhet 

kommer att bevakas i E-nämndens fortsatta arbete. 

1 Det samordnade området 

1.1 Denna vägledning gäller rutiner och säkerhetskrav på 

myndighetsområdet för att 

1. utfärda, använda, spärra och kontrollera spärr av elektroniska 

identitetshandlingar (e-legitimationer), 

2. identifiera den som legitimerar sig, kontrollera om en elektroniskt 

undertecknad handling är äkta och använda anknytande funktioner för 

skydd, och 

3. bedöma vilka ID-tjänster som tillgodoser säkerhetskraven inom en etjänst. 

Syftet med samordningen är att e-legitimationer, elektroniska underskrifter 

och anknytande funktioner skall bli förenliga med gällande rätt och enkla att 

förstå och använda. 

1.2 En fysisk person, som inte företräder en myndighet, använder en IDtjänst 

för 

1. legitimering vid 

a. tillträde, för att elektroniskt få tillgång till uppgifter som får lämnas 

ut till honom eller henne och för att få skydd mot att obehöriga får 

tillgång till uppgifterna under sken av att vara honom eller henne, 

a. uppgiftslämnande, för att få lämna uppgifter elektroniskt och för att 

få skydd mot att obehöriga lämnar uppgifter under sken av att vara 

honom eller henne, 

2. identifiering av myndighet, för att kontrollera till vilken myndighets 

webbplats eller e-tjänst som anslutning har skett, 

2

3. elektronisk underskrift, för att ställa ut elektroniska handlingar som är 

skyddade mot förfalskning och förnekande av elektronisk underskrift på 

motsvarande sätt som en handling som är undertecknad på traditionellt 

sätt, 

4. kontroll av elektronisk underskrift, för att granska om en elektroniskt 

undertecknad handling är utställd av den som har angetts som 

undertecknare, 

5. kontroll av myndighetens elektroniska stämpel, för att granska om en 

stämplad elektronisk handling härrör från den myndighet som har 

angetts som utställare, och 

6. insynsskydd, för att genom kryptering hindra obehöriga från att ta del av 

informationen. 

1.3 En myndighet använder en ID-tjänst för 

1. identifiering vid 

a. tillträde, för att kunna ge tillgång till uppgifter elektroniskt så att inte 

obehöriga får ut uppgifterna, 

b. uppgiftslämnande, för att kontrollera vem som är ansluten till 

myndighetens e-tjänst när vissa uppgifter lämnas, 

2. identifiering av annan myndighet, för att kontrollera till vilken 

myndighets webbplats eller e-tjänst som anslutning har skett, 

3. elektronisk underskrift, för att ställa ut elektroniska handlingar, som är 

skyddade mot förfalskning eller förnekande av underskrift på 

motsvarande sätt som en handling som har undertecknats av en 

handläggare på traditionellt sätt, 

4. kontroll av elektronisk underskrift, för att granska om en elektroniskt 

undertecknad handling som har kommit in till myndigheten eller 

upprättats vid myndigheten är utställd ut av den som angetts som 

undertecknare, 

5. myndighetens elektroniska stämpel, för att ställa ut elektroniska 

handlingar som är skyddade mot förfalskning på motsvarande sätt som 

en traditionell handling i vilken en myndighet anges som utställare 

genom särskilt tryck eller på annat liknande sätt, 

6. kontroll av en annan myndighets elektroniska stämpel, för att granska 

om en stämplad elektronisk handling härrör från den myndighet som har 

angetts som utställare, och 

7. insynsskydd, för att genom kryptering hindra obehöriga från att ta del av 

informationen. 

3

1.4 E-legitimationer kan utfärdas för fysiska personer, som personlig elegitimation 

eller tjänstelegitimation. För myndigheter kan e-legitimationer 

utfärdas som serverlegitimation eller e-legitimation för myndighetens 

elektroniska stämpel. E-legitimationerna används enligt följande: 

1. Personlig e-legitimation används av fysiska personer när de 

kommunicerar elektroniskt med myndigheter. I en myndighets 

verksamhet kan en personlig e-legitimation användas som 

tjänstelegitimation. 

2. Tjänstelegitimation används av handläggare vid myndigheter när de 

kommunicerar elektroniskt i egenskap av anställd eller uppdragstagare 

hos myndigheten. En tjänstelegitimation som en myndighet bör godta 

enligt 5.9 får användas som personlig e-legitimation. 

3. Serverlegitimation brukas för att användare skall kunna identifiera en 

myndighets webbplats eller e-tjänst med vilken de kommunicerar och 

skydda denna kommunikation mot obehörig insyn. 

4. E-legitimation för myndighetens elektroniska stämpel används av 

myndigheter när de ställer ut elektroniska handlingar som skyddas mot 

förfalskning och förnekande så att det kan kontrolleras att den 

elektroniska handlingen har ställts ut av myndigheten, eller inom ramen 

för ett visst verksamhetsområde inom myndigheten, och inte har ändrats. 

1.5 E-legitimationer enligt 1.4 skall ha det innehåll och format som anges i 

Statskontorets ramavtal för ID-tjänster. 

2 Myndighet som avropar ID-tjänster 

2.1 En myndighet som inför elektronisk identifiering och elektroniska 

underskrifter kan avropa ID-tjänster som omfattas av ramavtal med 

Statskontoret. 

2.2 Information om ramavtalen finns på Statskontorets webbplats för ITupphandling 

(http://it-upphandling.statskontoret.se). 

2.3 På Statskontorets webbplats finns generell information för avrop enligt 

ramavtalet; dels en vägledning till ramavtalet, dels skriften ”Statskontorets 

ramavtal – en introduktion för dig som är inköpare” 

(http://www.statskontoret.se/pdf/2000102.pdf). 

4

3 Utfärdare av e-legitimationer 

Tillförlitliga regler och rutiner 

3.1 Den som utfärdar e-legitimationer som godtas enligt 5.9 (utfärdaren) 

skall ha sådana regler och rutiner att det finns fog för att lita på elegitimationerna 

och tillhörande ID-tjänst. 

Ansökan 

3.2 Personliga e-legitimationer och tjänstelegitimationer som godtas enligt 

5.9 får utfärdas endast efter skriftlig ansökan i traditionell pappersbaserad 

form. Ansökan skall vara undertecknad på traditionellt sätt, med intyg om 

att lämnade uppgifter är riktiga och fullständiga. 

3.3 Om en sökande har identifierats enligt 3.9 får en sådan motsvarighet till 

legitimering för uppgiftslämnande ersätta en underskrift enligt 3.2. 

3.4 Ansökan skall innehålla uppgifter enligt 1.5 och de övriga uppgifter som 

behövs i e-legitimationen eller för utfärdarens kontroller och för ID-tjänsten 

i övrigt. 

3.5 I avtal med den sökande skall utfärdaren, som villkor för att utfärda elegitimationer 

och ställa tillhörande tjänster till förfogande, föreskriva att de 

sökande skall skydda sin e-legitimation och säkerhetskod enligt 4.10 och 

4.11 och välja säkerhetskod och använda ID-programvara och utrustning 

enligt 4.7 och 4.8. 

3.6 Utfärdare av e-legitimationer skall informera de sökande om 

avtalsvillkorens innehåll. En utfärdare som vill införa villkor som inte finns 

med i själva ansökningshandlingen skall tydligt hänvisa till villkoren och 

utforma rutinerna så att villkoren kommer sökanden tillhanda innan denne 

undertecknar eller annars bekräftar sin ansökan enligt 4.2 eller 4.3. 

3.7 Utfärdaren skall tillhandahålla uppgifter om avtal, villkor, policies, 

utfärdardeklarationer, regelverk och anknytande uppgifter till innehavare av 

e-legitimationer, förlitande parter och andra som behöver uppgifterna i 

samband med kontroller enligt 4.14 och 5.4 – 5.7. Detta innebär inte att 

utfärdaren behöver röja företagshemligheter eller uppgifter som skulle 

kunna äventyra informationssäkerheten om de blev tillgängliga. 

Identifiering av sökande 

3.8 Utfärdaren skall identifiera den sökande vid personligt besök, på 

likvärdigt sätt som vid en ansökan om en SIS-godkänd identitetshandling. 

3.9 Om en sökande redan har identifierats vid ett personligt besök för att få 

använda bank på Internet eller någon liknande tjänst för ekonomiskt eller 

rättsligt betydelsefulla mellanhavanden får utfärdaren identifiera den 

sökande genom denna tjänst i stället för enligt 3.8. Denna elektroniska rutin 

får dock inte användas om den har spärrats eller om det annars kan antas att 

den inte identifierar den sökande på ett tillräckligt säkert sätt. 

5

3.10 Identifiering av en sökande vid förnyelse av en e-legitimation som 

godtas enligt 5.9 får ske genom att innehavaren legitimerar sig eller 

undertecknar med den privata nyckel som hör till e-legitimationen för att 

därigenom visa att han eller hon innehar nyckeln. 

Kontroll av uppgifter och produktion och utlämnande av e-legitimation 

3.11 En utfärdare av en e-legitimation skall 

1. kontrollera att ansökan om e-legitimation är behörigen undertecknad på 

papper eller lämnad elektroniskt enligt 4.3 och att de uppgifter som den 

sökande lämnar enligt 4.2 är fullständiga och stämmer överens med 

uppgifter som finns registrerade i SPAR-registret eller något annat 

officiellt register, 

2. producera e-legitimationer på ett säkert sätt och förse dem med en 

elektronisk underskrift eller en elektronisk stämpel, och 

3. befordra e-legitimationer till innehavaren på ett säkert sätt. Detsamma 

gäller för privata nycklar och säkerhetskoder som inte genereras eller 

väljs av innehavaren. 

3.12 Om en utfärdare tillhandahåller privata nycklar och säkerhetskoder 

skall dessa befordras 

1. i separata försändelser och lämnas ut till sökanden vid personligt besök 

hos utfärdaren eller ett ombud för utfärdaren, eller 

2. genom ett elektroniskt förfarande som är förenligt med 3.9. 

3.13 Privata nycklar som utfärdare använder för att underteckna eller 

stämpla e-legitimationer skall skyddas genom särskilt tillförlitliga rutiner 

och bör användas endast för att ställa ut e-legitimationer och 

spärrinformation. 

Utformning av ID-programvara och utrustning 

3.14 En utfärdare bör förse innehavare av e-legitimationer med programvara 

för att hantera privata nycklar och säkerhetskoder på ett pålitligt sätt inom 

ramen för ID-tjänsten. Sådan ID-programvara – och utrustning, för det fall 

att aktiva kort eller andra hårdvaruskydd ingår – skall ha utformats så att det 

krävs en aktiv handling för att legitimera sig eller underteckna och 

insynsskydda handlingar. Rutinerna bör ta sikte på att likna de 

omständigheter som innehavaren av e-legitimationen ställs inför när han 

eller hon 

1. fattar en penna och skriver under, 

2. visar upp en traditionell legitimationshandling för identitetskontroll, 

respektive 

6

3. försluter eller öppnar ett vanligt kuvert eller ett annat slutet förvar. 

Utformning av programvara för dokumenthantering 

3.15 I det fall en utfärdare av e-legitimationer eller en myndighet förser 

innehavare av e-legitimationer med en programvara för att granska utkast 

till dokument eller presentera underskrivna eller stämplade dokument, skall 

programvaran utformas så att 

1. den möjliggör tydlig och lättbegriplig presentation av e-legitimationer 

och anknytande uppgifter om spärrkontroll, och 

2. en innehavare som läser ett utkast eller ett undertecknat eller stämplat 

dokument 

a. tydligt kan se 

i. all text, och 

ii. om texten är undertecknad respektive stämplad, samt 

b. inte förväxlar 

i. den text som granskas, för att undertecknas eller 

stämplas, med annan text, 

ii. den underskrivna eller stämplade texten med oskyddad 

text eller med text som hör till andra dokument, eller 

iii. vidimerade handlingar med andra handlingar eller 

dokument. 

3.16 Om en programvara enligt 3.15 för granskning av handlingar stöder 

hantering av handlingar i olika versioner eller liknande bör särskilt beaktas 

att underskrifter och stämplar inte får presenteras så att det finns risk för att 

läsaren missförstår vad som har undertecknats eller stämplats. 

Spärrtjänst och spärrkontrolltjänst 

3.17 En utfärdare skall tillhandahålla en tjänst där en innehavare kan spärra 

sin e-legitimation (spärrtjänst). Tjänsten skall ha god tillgänglighet och 

utfärdaren skall behandla anmälan om spärr skyndsamt. 

3.18 En utfärdare skall göra uppgifter om spärr av e-legitimationer 

tillgängliga för den som skall bedöma om han eller hon kan lita på en viss elegitimation 

(spärrkontrolltjänst). Uppgifter om spärr kan tillhandahållas 

genom spärrlistor som utfärdaren uppdaterar med korta intervaller eller 

genom en tjänst för transaktionsbaserad giltighetskontroll. Utfärdaren bör 

hålla sådana uppgifter tillgängliga även för andra som behöver dem för att 

kontrollera om en undertecknad elektronisk handling är äkta. 

3.19 En förlitande parts kontroller och bedömningar enligt 4.14 och 5.4 – 

5.7 bör automatiseras enligt 6.2 eller på annat sätt underlättas med stöd av 

helhetslösningar så att den förlitande parten enkelt kan överblicka och förstå 

åtgärdernas innebörd. 

7

Arkivfrågor 

3.20 Utfärdare skall arkivera 

1. ansökningshandlingar och handlingar som rör utlämnande och 

mottagande av nycklar och e-legitimationer, anmälningar om spärr samt 

handlingar om spärr som tillhandahållits av utfärdaren, 

2. avtal om ID-tjänster samt policydokument och utfärdardeklarationer, 

och 

3. övriga handlingar och uppgifter som kan behövas för att kontrollera 

elektroniska underskrifter och stämplar, identifiera personer och 

myndigheter och hantera insynsskydd. 

3.21 Handlingarna skall bevaras och skyddas under den tid som behövs för 

att tillgodose ändamålen med elektroniska underskrifter m.m. Tiden för 

bevarande bör inte understiga tio år och material skall kunna tas fram i 

läsbar form under hela denna tid. Myndigheter och andra organ för vilka 

arkivlagen (1990:782) gäller får gallra allmänna handlingar endast om 

åtgärden har stöd i lag eller annan författning eller beslut om gallring. 

3.22 Utfärdare bör lämna ut information om enskilda händelser på begäran 

av den som behöver kontrollera en underskrift eller en stämpel. Arkiverat 

material får emellertid inte lämnas ut i strid mot lag eller författning eller 

avtal med innehavaren av e-legitimationen. 

3.23 En utfärdare som upphör med sin ID-tjänst skall informera innehavare 

av e-legitimationer och förlitande parter som slutit avtal om ID-tjänsten. 

Utfärdaren skall hålla arkiverat material tillgängligt enligt 3.21 och 3.22. 

Serverlegitimation och e-legitimation för myndighetens elektroniska stämpel 

3.24 Bestämmelserna om personliga e-legitimationer och 

tjänstelegitimationer gäller i tillämpliga delar för serverlegitimationer och elegitimationer 

för myndighetens elektroniska stämpel. 

3.25 En serverlegitimation skall säkerställa kopplingen till myndighetens 

webbplats eller e-tjänst genom att intyga att det är myndigheten som innehar 

eller annars använder angivet domännamn. En e-legitimation för 

myndighetens elektroniska stämpel skall individualisera myndigheten 

genom namn och organisationsnummer. När ytterligare uppgifter behövs för 

att särskilja en verksamhetsgren inom en myndighet bör den benämning 

under vilken myndigheten driver sin verksamhet eller en verksamhetsgren 

användas. 

3.26 En utfärdare får lämna ut en serverlegitimation eller en e-legitimation 

för myndighetens elektroniska stämpel och tillhörande privata nycklar 

endast till den som har legitimerat sig med en SIS-godkänd 

legitimationshandling eller på motsvarande sätt och visat att han eller hon är 

behörig att företräda myndigheten i berörda frågor. Utlämnande får ske först 

8

efter att företrädaren har tagit emot information om hur och till vad elegitimationen 

får användas. 

Utfärdarens ansvar 

3.27 En utfärdares ansvar gentemot innehavare av e-legitimationer bör 

regleras i avtal mellan parterna. Detsamma gäller för ansvaret mot en 

förlitande part. 

3.28 Utfärdaren kan anlita någon annan för att utföra delar av verksamheten 

men skall i förhållande till innehavare av e-legitimationer och förlitande 

parter ansvara som om utfärdaren hade utfört hela arbetet själv. 

4 Innehavare av e-legitimationer 

4.1 Innehavare av e-legitimationer kan bl.a. legitimera sig och underteckna 

elektroniskt. Innehavare kan också agera som förlitande part som tar emot 

och kontrollerar undertecknade eller stämplade handlingar. I detta avsnitt 

ges regler och rutiner för fysiska personer som ansöker om, tilldelas och 

använder personliga e-legitimationer och litar på tjänstelegitimationer, elegitimationer 

för myndighetens elektroniska stämpel eller 

serverlegitimationer samt anknytande rutiner enligt 1.2. 

En reglering i enlighet med denna vägledning avses ske genom avtal mellan 

utfärdare och innehavare av e-legitimationer. 

Fysiska personer som sökande och innehavare av elegitimationer 

Ansökan och avtalsvillkor 

4.2 Fysiska personer ansöker om e-legitimation. Den sökande skall 

skriftligen lämna de uppgifter som behövs enligt 3.4 och underteckna 

ansökan i traditionell pappersbaserad form, med intyg om att lämnade 

uppgifter är riktiga och fullständiga. 

4.3 Om en sökande redan har identifierats vid ett personligt besök för att få 

använda bank på Internet eller någon liknande tjänst för ekonomiskt eller 

rättsligt betydelsefulla mellanhavanden bör han eller hon få använda 

elektroniska rutiner enligt 3.9 för att ansöka om e-legitimation, utan krav på 

underskrift enligt 4.2. 

Detsamma gäller vid ansökan om förnyelse av en e-legitimation som godtas 

enligt 5.9. Innehavaren skall underteckna med en privat nyckel som hör till 

e-legitimationen. 

4.4 Innan ansökan sker bör den sökande ta del av utfärdarens villkor och 

information enligt 3.5 – 3.6 samt tydligt ange om han eller hon till någon del 

9

inte godtar villkoren. En innehavares ansvar mot utfärdaren och mot 

förlitande parter vid fel eller försummelse bör regleras i villkoren. 

Identifiering 

4.5 Den som ansöker om en e-legitimation skall vidta de åtgärder som 

behövs för att en utfärdare skall kunna identifiera den sökande enligt 3.8 

eller 3.9. 

Mottagande och hantering av e-legitimation och nycklar m.m. 

4.6 En sökande som fått ansökan beviljad, men inte själva har valt 

säkerhetskod och genererat nycklar, tilldelas privata nycklar, säkerhetskoder 

och e-legitimationer på det sätt som utfärdaren tillämpar enligt 3.12. Dessa 

nycklar och säkerhetskoder skall behandlas enligt villkoren i innehavarens 

avtal med utfärdaren. 

4.7 En innehavare av e-legitimationer som själv väljer sina säkerhetskoder 

får inte använda sådana som är enkla att lista ut (jfr 3.5). 

4.8 En innehavare av en e-legitimation bör använda den ID-programvara 

och utrustning samt programvara för dokumenthantering, som utfärdaren 

eller en myndighet tillhandahåller enligt 3.14, 3.15 eller 5.21, så att 

legitimering, elektronisk underskrift och kryptering för insynsskydd sker 

med tillförlitliga rutiner (jfr 3.5). 

Skydd för e-legitimationer och säkerhetskoder m.m. 

4.9 En innehavare av en e-legitimation skall skydda sin e-legitimation så att 

ingen annan får tillgång till den och sin säkerhetskod så att ingen annan kan 

få reda på den. 

4.10 Åtgärder enligt 4.9 består i att bl.a. 

1. skydda datorer och annan utrustning där e-legitimationen förvaras eller 

används, 

2. välja en säkerhetskod som inte är lätt att lista ut, och 

3. hålla säkerhetskoden hemlig och inte anteckna säkerhetskoden på ett sätt 

eller på en plats som gör att den kan kopplas till e-legitimationen. 

Anmälan om spärr 

4.11 En innehavare av en e-legitimation skall göra en spärranmälan snarast 

efter att han eller hon upptäcker att det finns anledning att spärra 

legitimationen. Anledning att spärra kan föreligga bl.a. om uppgifter i elegitimationen 

visat sig vara felaktiga eller har blivit felaktiga, t.ex. till följd 

av att innehavaren bytt namn, eller att ID-programvara eller utrustning har 

förvarats utan tillräckligt skydd så att en privat nyckel eller en säkerhetskod 

kan ha blivit tillgänglig för någon annan. 

10

Förlitande part 

4.12 En fysisk person som inte företräder en myndighet kan kontrollera om 

elektroniskt undertecknade eller stämplade handlingar är äkta samt 

identifiera en webbserver eller en e-tjänst som han eller hon har anslutits till. 

För handläggare finns regler i avsnitt 5. 

4.13 En förlitande part svarar för kontroll och bedömning av säkerhetsnivå 

och användningsområde, giltighetskontroll, spärrkontroll och kontroll av 

elektronisk underskrift eller stämpel samt för att bereda sig tillgång till de 

uppgifter som behövs för dessa kontroller. 

Reglerna i 5.4 – 5.7 skall tillämpas på motsvarande sätt vid kontroller och 

bedömningar enligt första stycket. 

Format och rutiner för att ge in handlingar 

4.14 En privatperson som ger in en elektronisk handling till en myndighet 

bör anpassa format och rutiner så att myndigheten kan läsa och bevara 

handlingen och skydda sig mot datavirus och andra hot mot 

informationssäkerheten; jfr 5.16. 

5 Myndigheter 

5.1 En myndighet kan agera som förlitande part som identifierar innehavare 

av e-legitimationer och kontrollerar undertecknade eller stämplade 

handlingar. Myndigheten kan också ställa ut handlingar. I detta avsnitt ges 

regler och rutiner för 

1. myndigheter som 

a. ansöker om, tilldelas, använder och litar på serverlegitimationer 

eller e-legitimationer för myndighetens elektroniska stämpel och 

som litar på personliga e-legitimationer, tjänstelegitimationer och 

ID-tjänster enligt 1.3, och 

b. tillhandahåller e-tjänster, samt 

2. handläggare som för myndighetens räkning litar på e-legitimationer och 

anknytande användning enligt 1.3. Regler för handläggare som 

undertecknare m.m. finns i avsnitt 4. 

En reglering i enlighet med denna vägledning avses ske genom avtal mellan 

utfärdare och förlitande parter. 

Myndigheten som sökande och utställare 

5.2 Bestämmelserna i 4.2 – 4.12 om personliga e-legitimationer och 

tjänstelegitimationer skall gälla i tillämpliga delar, med de anpassningar 

som följer av 3.25 och 3.26, för ansökan om och tilldelning och användning 

11

av serverlegitimation och e-legitimation för myndighetens elektroniska 

stämpel. 

Myndigheten som förlitande part 

5.3 En myndighet svarar i egenskap av förlitande part för kontroll och 

bedömning av säkerhetsnivå och användningsområde, giltighetskontroll, 

spärrkontroll och kontroll av elektronisk underskrift eller stämpel samt för 

att bereda sig tillgång till de uppgifter som behövs för dessa kontroller. 

Kontroller som inte sker automatiskt bör utföras av en handläggare för 

myndighetens räkning. 

För handläggarens användning av sin tjänstelegitimation finns regler i 4.9 – 

4.11. 

Kontroll och bedömning av säkerhetsnivå och användningsområde 

5.4 En förlitande part svarar för att kontrollera och bedöma om en utfärdare 

och en e-legitimation uppfyller de säkerhetskrav som den förlitande parten 

ställer och om e-legitimationen är lämplig för det aktuella 

användningsområdet. 

Giltighetskontroll och spärrkontroll 

5.5 En part bör lita på en e-legitimation först efter det att han eller hon har 

kontrollerat att den inte hade spärrats och att giltighetstiden inte hade löpt ut 

när den användes för legitimering eller underskrift. 

5.6 Den förlitande parten svarar för att giltighetskontroll och spärrkontroll 

sker. 

Uppgifter om spärr av e-legitimationer kan anges i spärrlistor. Spärrkontroll 

sker då mot av utfärdaren regelbundet uppdaterade spärrlistor. Uppgifter om 

spärr kan också tillhandahållas via en tjänst för transaktionsbaserad 

giltighetskontroll. 

Den förlitande parten kontrollerar att listans giltighetstid inte har löpt ut. 

Uppgifternas giltighet kontrolleras på likvärdigt sätt vid användning av en 

tjänst för transaktionsbaserad giltighetskontroll. 

Kontroll av elektronisk underskrift eller stämpel 

5.7 En part bör lita på en e-legitimation, en spärrlista eller en annan 

undertecknad eller stämplad elektronisk handling först efter att ha 

kontrollerat underskriften eller stämpeln. 

Om skydd ges genom en serverlegitimation bör en part lita på en uppgift om 

vilken myndighets webbplats eller e-tjänst han eller hon har anslutits till 

först efter att ha kontrollerat serverlegitimationen enligt första stycket. 

5.8 Den förlitande parten svarar för att bereda sig tillgång till uppgifter för 

kontroller och kan behöva ha tillgång till 

12

1. utfärdarens publika nycklar för att kontrollera e-legitimationer och 

spärrlistor, 

2. en tjänstelegitimation, för att kontrollera elektroniska handlingar som 

har undertecknats av en handläggare, 

3. en e-legitimation för myndighetens elektroniska stämpel, för att 

kontrollera stämplade elektroniska handlingar med en myndighet som 

utställare, och 

4. en serverlegitimation, för att identifiera en webbplats eller en e-tjänst. 

5.9 En myndighet bör godta giltiga e-legitimationer som inte har spärrats 

och som har en kontrollerad underskrift eller stämpel samt sådant innehåll 

och format som anges i Statskontorets ramavtal för ID-tjänster, under 

förutsättning att 

1. e-legitimationen har ställts ut av en utfärdare som 

a. omfattas av ramavtal med Statskontoret För ID-tjänster, eller 

b. i enlighet med sådant ramavtal är underleverantör till en 

utfärdare enligt a), 

2. det regelverk och de rutiner som gäller för e-legitimationerna är 

förenliga med denna vägledning, 

3. myndigheten har tillgång till uppgifter för spärrkontroll, 

giltighetskontroll och kontroll av elektronisk underskrift eller stämpel, 

och 

4. det inte i det enskilda fallet finns skäl för annan kontrollåtgärd. 

Myndigheten som tillhandahållare av e-tjänster m.m. 

Interna regler för myndigheten 

5.10 En myndighet som använder en ID-tjänst och tillhandahåller en e-tjänst 

bör ha interna regler där det framgår bl.a. hur handlingar undertecknas, 

stämplas, kontrolleras, insynsskyddas och dekrypteras hos myndigheten. 

Underskrifter och stämplar 

5.11 En elektronisk underskrift bör presenteras i anknytning till den text 

som skrivs under, så att underskriftens innebörd framgår av sammanhanget, 

på samma sätt som vid underskrift på traditionellt sätt. Behövs skriftlig 

information om denna innebörd, t.ex. en angivelse av den fullständiga 

firman vid firmateckning enligt 26 § firmalagen (1974:156), bör detta anges 

i den text som skall undertecknas. Detsamma bör gälla för elektroniska 

stämplar. 

13

5.12 Presenteras flera underskrifter eller stämplar på samma ”sida” eller 

presenteras en underskrift eller en stämpel så att det finns risk för att läsaren 

missförstår vilken text som undertecknats eller stämplats bör åtgärder vidtas 

för att förenkla och förtydliga läsarens tolkning av det som presenteras. 

Detsamma gäller om både skyddad och oskyddad text presenteras 

tillsammans. 

5.13 Av 10 § tredje stycket förvaltningslagen (1986:223), 44 § tredje stycket 

förvaltningsprocesslagen (1971:291) och 33 kap. 3 § tredje stycket 

rättegångsbalken följer att behöriga handläggare från fall till fall får avgöra 

om en elektroniskt undertecknad eller stämplad handling skall godtas av en 

myndighet eller om en bekräftelse skall inhämtas. 

Rutiner för att ta emot, expediera, presentera, hantera och långtidslagra 

elektroniska handlingar 

5.14 En myndighet som tar emot eller ställer ut undertecknade eller 

stämplade elektroniska handlingar skall säkerställa att de krav som de 

kryptografiska rutinerna för med sig beaktas från arkivsynpunkt. I 

Riksarkivets föreskrifter finns bestämmelser om framställning, hantering, 

förvaring och skydd av allmänna handlingar. 

5.15 Innan rutiner för insynsskydd tas i drift vid en myndighet bör 

myndigheten införa rutiner för att kunna göra insynsskyddade elektroniska 

handlingar läsbara när den eller de som har tillgång till den nyckel som 

behövs för dekryptering inte finns till hands. Dessa rutiner bör ge stöd för 

att dekryptera handlingarna under hela den tid som de skall bevaras. 

5.16 En myndighet bör på sin webbplats eller på annat liknande sätt upplysa 

om vilka format och rutiner som kan användas för att ge in elektroniska 

handlingar så att myndigheten kan läsa och bevara inkomna handlingar; jfr 

4.15. 

Om det finns särskilda skäl och det kan ske utan hinder för arbetets behöriga 

gång bör myndigheten tillgodose önskemål om att godta format eller rutiner 

för ta emot elektroniska handlingar som inte uppfyller kraven i första 

stycket. 

5.17 Myndigheter bör tydligt anvisa den adress där myndigheten tar emot 

elektroniska handlingar. Detta behövs dock inte inom ramen för t.ex. 

webbformulär och webbtjänster där adresseringen till mottagande 

myndighet sker automatiskt. 

5.18 Kvittenser och andra bekräftelser från myndigheter bör utformas så att 

det inte finns risk för att mottagaren vilseleds om vad som har undertecknats 

eller stämplats. 

Konvertering och vidimering av dokument 

5.19 Om en myndighet, som tar emot eller upprättar undertecknade eller 

stämplade elektroniska handlingar, vill gallra elektroniska underskrifter eller 

stämplar, skall myndigheten, innan gallring sker, vidta åtgärder för att 

14

kontrollera och dokumentera handlingarnas äkthet och skydda de delvis 

gallrade handlingarna från förändringar. Om elektroniska underskrifter eller 

stämplar tas bort måste detta ha stöd i lag eller annan författning eller beslut 

om gallring. 

5.20 Med hänsyn till rättssäkerhets- eller informationssäkerhetssynpunkt 

skall myndigheter, som gallrat delar av handlingar enligt 5.19, skydda den 

text som bevaras, med myndighetens elektroniska stämpel eller en 

handläggares elektroniska underskrift, i förening med ett intyg om att texten 

överensstämmer med det ursprungliga innehållet. Av intyget bör också 

framgå, direkt eller genom en hänvisning, vilka åtgärder som har vidtagits 

för att skydda innehållet från förändringar under det tekniska förfarandet. 

Programvara för dokumenthantering 

5.21 I det fall en myndighet förser innehavare av e-legitimationer med 

programvara för att granska utkast till dokument eller presentera 

underskrivna dokument eller om myndigheten tillhandahåller stöd för 

sådana funktioner via en e-tjänst tillämpas reglerna i 3.15 och 3.16. 

6 Helhetslösningar m.m. 

6.1 Utfärdare av e-legitimationer som har ramavtal med Statskontoret om 

ID-tjänster bör tillhandahålla helhetslösningar för att använda ID-tjänsterna. 

Varje sådan helhetslösning bör utformas som ett paket. I paketet bör ingå de 

produkter och tjänster som användare behöver för funktioner och 

användningssätt enligt 1.2 och 1.3 som paketet avses stödja. 

6.2 Åtgärder för giltighetskontroll, spärrkontroll kontroll av elektronisk 

underskrift eller stämpel och åtkomst till erforderliga uppgifter bör kunna 

genomföras helt eller delvis automatiskt av innehavare av e-legitimationer 

och myndigheter med stöd av de programvaror och tjänster som ingår i ett 

paket enligt 6.1. Paketen bör vara utformade så att den som skall genomföra 

en kontroll eller en annan åtgärd enkelt kan överblicka och förstå 

åtgärdernas innebörd och resultat. 

Helhetslösningar som tillhandahålls åt användare bör innefatta skydd enligt 

3.14 – 3.16 för innehavarens ID-programvara och utrusning samt 

programvara för dokumenthantering. 

6.3 Utfärdarnas paket bör vara förenliga så att de funktioner de erbjuder 

fungerar vid kommunikation mellan olika innehavare av e-legitimationer 

även om legitimationerna har ställts ut av olika utfärdare. 

7 Säkerhetsskydd och standarder, m.m. 

7.1 Myndigheter och andra som berörs av rutiner och funktioner m.m. inom 

det samordnade området erinras om föreskrifterna i säkerhetsskyddslagen 

15

(1996:627) rörande utredning och prövning av vilket skydd som kan 

behövas för en verksamhet. 

7.2 Som stöd för myndigheternas arbete för informationssäkerhet erinras om 

standarden ISO/IEC 17799 Ledningssystem för informationssäkerhet – 

Riktlinjer för ledning av informationssäkerhet. 

16

Bilaga 1 – Begrepp och definitioner 

Begreppsapparaten är avsedd för s.k. publika nyckelsystem (PKI). För vissa 

definitioner anges flera synonyma begrepp. De begrepp som anges med fet 

stil används i vägledningen och har i vissa fall ersatt tidigare använda 

uttryck. För vissa begrepp ges dessutom en förenklad beskrivning som 

rekommenderas för dialogen med privatpersoner. Där det behöver klargöras 

att pappersbaserade rutiner inte innefattas används begreppet ”elektronisk” 

som ett tillägg till den term som definieras. 

Vissa begrepp, t.ex. handläggare, knyter an till verksamheter på 

myndighetsområdet. Vägledningen har emellertid getts en sådan utformning 

att de skall kunna tillämpas på motsvarande sätt även på andra områden. 

Begrepp Förenklad beskrivning Definition 

e-legitimation 

Elektronisk legitimation 

(e-leg) 

Elektronisk identitetshandling 

(eID) 

En elektronisk 

motsvarighet till en 

vanlig legitimation. 

Innehavaren använder 

den för att legitimera sig 

och att skriva under 

Certifikat Den del av en elegitimation 

som 

används för att 

identifiera innehavaren 

och kontrollera om det 

är innehavaren som 

undertecknat 

e-legitimation för 

myndighets elektroniska 

stämpel 

e-tjänst 

(Elektronisk) 

självbetjäningstjänst 

En elektronisk tjänst där 

användaren kan utföra 

sina ärenden 

Förlitande part Den som litar på en 

elektronisk underskrift, 

en elektronisk stämpel 

eller en e-legitimation 

(Elektronisk) handling En elektronisk 


pappershandling 

Intyg i elektronisk form av en utfärdare som kopplar 

ihop en publik nyckel med en innehavare och bekräftar 

vem innehavaren är samt en privat nyckel som 

förvaras tillsammans med intyget. Utfärdaren förser 

intyget med sin avancerade elektroniska stämpel 

Ett av en utfärdare stämplat intyg i elektronisk form 

som kopplar ihop ett nyckelpar med en innehavare och 

bekräftar vem innehavaren är 

e-legitimation som utfärdas för att det skall kunna 

kontrolleras att stämplade elektroniska handlingar är 

äkta 

En tjänst där kommunikation sker elektroniskt mellan 

t.ex. myndighet och privatperson. Tjänsten kan 

innefatta funktioner för legitimering och 

undertecknande med stöd av en ID-tjänst 

Den som tar emot en e-legitimation, en annan 

undertecknad eller stämplad elektronisk handling eller 

data för identifiering av innehavare av e-legitimationer 

och som svarar för vissa kontroller samt avses lita på 

den elektroniska handlingen eller data för identifiering 

En bestämd mängd data i digital form som kan läsas, 

avlyssnas eller på annat sätt uppfattas med tekniskt 

hjälpmedel 

Handläggare Den som i egenskap av anställd eller uppdragstagare 

hos en myndighet kommunicerar elektroniskt inom 

myndigheten eller med andra 

(Elektronisk) identifiering 

Elektronisk ID-kontroll 

ID-programvara och 

utrustning 

Anordning för 

signaturframställning m.m. 

Kontroll av vem som 

legitimerar sig med en 

e-legitimation 

ID-tjänst En tjänst för att utfärda, 

stödja och kontrollera elegitimationer 

Innehavare 

(av e-legitimation) 

Certifikatinnehavare 

Kontroll (för att identifiera 

den som legitimerar sig, eller 

av att en elektroniskt 

undertecknad handling är 

äkta) 

Verifiering 

Den som innehar en elegitimation 

Granskning av vem som 

legitimerat sig eller av 

att en undertecknad 

handling är äkta 

Kontroll av att en viss fysisk persons eller myndighets 

privata nyckel för legitimering har använts. Den 

privata nyckeln för legitimering skall a) vara knuten 

uteslutande till en fysisk person eller en myndighet, 

och b) ha använts i en process som gör det möjligt att 

identifiera personen eller myndigheten genom att 

kontrollera vissa elektroniska data; normalt ett av 

motparten signerat slumptal. Data som kontrolleras 

skall ha skapats med en nyckel som endast 

innehavaren har under sin kontroll 

Programvara för att använda privata nycklar och 

säkerhetskoder på ett säkert sätt, i vissa fall 

kombinerade med chipkort eller andra skyddande 

hårdvaror 

En tjänst som en utfärdare av e-legitimationer 

tillhandahåller för att stödja elektroniska underskrifter 

och legitimationer 

Den för vilken en e-legitimation har utfärdats 

En process för att kontrollera att en viss innehavares 

privata nyckel använts vid legitimering eller 

elektronisk underskrift 

17

(jfr spärrkontroll) 

Kvalificerad elektronisk 

signatur 

Avancerad elektronisk signatur som enligt lagen 

(2000:832) om kvalificerade elektroniska signaturer är 

baserad på ett kvalificerat certifikat och skapad av en 

säker anordning för signaturframställning 

Kvalificerat certifikat Certifikat som uppfyller kraven i 6 eller 7 § lagen 

(2000:832) om kvalificerade elektroniska signaturer 

(Elektronisk) legitimering Du presenterar din elegitimation 

för att bli 

identifierad 

En åtgärd av en viss fysisk person eller myndighet, 

som innehar en e-legitimation, för att göra det möjligt 

att identifiera innehavaren av en e-legitimation eller 

en e-tjänst 

Myndighet Ett statligt eller kommunalt organ med undantag av 

riksdagen och de kommunala beslutande 

församlingarna 

Policy 

Certifikatpolicy 

Personlig e-legitimation 

Medborgarcertifikat 

Privat nyckel Dina hemliga data som 

du aktiverar med din 

säkerhetskod och 

använder för att 

underteckna eller 

legitimera dig 

elektroniskt 

Privatperson 

Medborgare 

Publik nyckel Uppgift i din 

e-legitimation som 

förlitande part använder 

för att identifiera dig 

eller att kontrollera din 

underskrift 

(Elektronisk) signatur En digital namnteckning 

som inte behöver 

uppfylla myndigheternas 

krav på elektronisk 

underskrift 

Ett regelverk enligt vilket en e-legitimation avses 

användas inom en viss grupp eller klass av 

tillämpningar med gemensamma krav på säkerhet 

E-legitimation som tilldelas en fysisk person 

Den hemliga delen av ett nyckelpar för kryptering där 

olika nycklar används för att kryptera och dekryptera 

Fysisk person som innehar en personlig e-legitimation 

och använder den för egen räkning 

Den publika delen av ett nyckelpar för kryptering där 

olika nycklar används för att kryptera och dekryptera 

Data i elektronisk form som är fogade till eller logiskt 

knutna till andra elektroniska data och som används 

för att kontrollera att innehållet härrör från den som 

framstår som utställare och att det inte har 

förvanskats 

Spärr En markering om att en e-legitimation inte längre bör 

anses tillförlitlig. Spärrarna distribueras i form av 

spärrlistor eller görs tillgängliga via en tjänst för 

transaktionsbaserad giltighetskontroll 

Spärrkontroll Kontroll som förlitande part gör av att en elegitimation 

inte har spärrats. Spärrkontroll kan göras 

gentemot en spärrlista eller mot en tjänst för 

transaktionsbaserad giltighetskontroll 

Spärrlista En elektroniskt undertecknad eller stämplad lista över 

e-legitimationer som har spärrats 

(Elektronisk) stämpel 

Avancerad elektronisk 

stämpel 

e-stämpel 

Stämplad (elektronisk) 

handling 

e-stämplad handling 

(Säkerhets)kod 

Lösenord PIN-kod 

Aktiveringsdata 

(Elektronisk) 

tjänstelegitimation 

Tjänstecertifikat 

Tjänst för 

transaktionsbaserad 

giltighetskontroll 

(Elektronisk) underskrift 

Avancerad elektronisk 

Ett elektroniskt bevis, 

som motsvarar en 

elektronisk underskrift 

och intygar vilken 

organisation som har 

ställt ut handlingen 

En handling som en 

organisation har försett 

med sin elektroniska 

stämpel 

Personlig och hemlig kod 

för att kunna legitimera 

sig och skriva under 

E-legitimation för 

handläggare vid en 

myndighet 

En tjänst för kontroll av 

att en e-legitimation inte 

är spärrad 

En elektronisk 


Elektronisk signatur som 

a) är knuten uteslutande till en myndighet eller en 

annan organisation, 

b) gör det möjligt att identifiera myndigheten eller 

organisationen, 

c) är skapad med hjälpmedel som endast myndigheten 

eller organisationen har kontroll över, och 

d) är knuten till andra elektroniska data på ett sådant 

sätt att förvanskningar av dessa data kan upptäckas 

Elektronisk handling som försetts med en avancerad 

elektronisk stämpel 

Alfanumeriska tecken eller biometriska data som 

används för att göra en privat nyckel tillgänglig för 

användning 

E-legitimation som tilldelas en person i egenskap av 

anställd eller uppdragstagare 

Funktion för att vid användningstillfället kontrollera att 

en 

e-legitimation är giltig och inte har spärrats. Vanliga 

protokoll för denna funktion är Online Certificate 

Status Protocol (OCSP) och Simple Certificate 

Verification Protocol (SCVP) 

Elektronisk signatur som 

a) är knuten uteslutande till en undertecknare, 

18

signatur namnteckning b) gör det möjligt att identifiera undertecknaren, 

c) är skapad med hjälpmedel som endast 

undertecknaren har kontroll över, och 

d) är knuten till andra elektroniska data på ett sådant 

sätt att förvanskningar av dessa data kan upptäckas 

(Elektroniskt) 

undertecknad handling 

Elektroniskt dokument 

Signerad handling 

En handling som har 

skrivits under 

elektroniskt 

Undertecknare En person som skriver 

under en handling 

elektroniskt 

En elektronisk handling som försetts med en 

avancerad eller kvalificerad elektronisk signatur 

En fysisk person som behörigen innehar en elegitimation 

och undertecknar med en privat nyckel 

som hör till e-legitimationen 

Utfärdardeklaration (CPS) Beskrivning av de regler och rutiner som en utfärdare 

tillämpar för att uppfylla kraven i en policy 

Utfärdare 

(av e-legitimation) 

Certifikatutfärdare 

Utgivare 

Den som ger ut elegitimationer 

Utställare En person som skriver 

under eller en 

organisation som 

stämplar en elektronisk 

handling 

Serverlegitimation 

servercertifikat 

Äkta 

Äkthet 

Äkthet och integritet 

Att en handling inte är 

förfalskad 

Den som utfärdar e-legitimationer; här beteckning på 

utfärdare som uppfyller kraven enligt denna 

vägledning 

Fysisk person, myndighet eller annan organisation som 

behörigen innehar en e-legitimation, använder IDprogramvara 

och undertecknar eller stämplar med en 

privat nyckel som hör samman med e-legitimationen 

E-legitimation som utfärdas för att användare skall 

kunna identifiera en myndighets e-tjänst som de 

kommunicerar med och skydda denna kommunikation 

mot obehörig insyn 

Att en handling i alla delar härrör från angiven 

utställare; dvs. att uppgiften om utställare är riktig 

och att innehållet inte har ändrats; jfr motsvarande 

krav enligt fakturadirektivet på äkthet och integritet 

(”authenticity of the origin” och ”integrity of the 

contents”) 

19

Ladda ner i pdf-format (nytt fönster) - E-delegationen

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?