Introduktion, Kammarkollegiet, Försäkringskassan, Cehis, MSB

Att legitimera sig elektroniskt i 

tjänsten 

Seminariespår 4 

Välkomna !!!

Syfte 

• Att ge en bild av det utgångsläge 

e-legitimationsnämnden nu har när man ”tar över” 

frågan om e-legitimering i tjänsten 

• Identifiera några ”nyckelfrågor” som är viktiga för 

att skapa en arkitektur som gör det möjligt för 

olika aktörer att erbjuda respektive använda 

generella metoder och verktyg för e-legitimering i 

tjänsten inom både offentlig och privat sektor

Att legitimera sig elektroniskt i tjänsten 

• Flera väletablerade lösningar finns både inom 

offentlig och privat sektor, men de är inte allmänt 

accepterade 

• Mycket diskussion och utredningar i flera varv, 

bland andra 

• Kammarkollegiets förstudie ”Organisationslegitimering 

” (FS: 2009-04) 

• Utredningen om Svensk e-legitimation (dec 2010)

Utredningen om Svensk e-legitimation (dec 2010) 

• Viktigt att regelverket även gäller för e-tjänstelegitimationer, men 

• de omfattas inte av valfrihetssystemet (tjänstekoncessionen) 

• användningen av dem är inte ersättningsgrundande 

• de bör hanteras separat (ej av e-legitimationsnämnden) ur ett upphandlings- och 

utförarperspektiv 

• För anställda inom landsting bör landstinget själv vara utfärdare 

även om det tekniskt är en annan part som är utfärdare; 

motsvarande synsätt bör tillämpas för annan offentlig verksamhet 

• Samråd med SKL viktigt 

• Synpunkter på frågan om personnummer i legitimationen och 

numrets utlämnande

Presentationer 

1. Kammarkollegiets förstudie Organisationslegitimering 

(Jan Lundh, Kammarkollegiet) 

2. Försäkringskassans arbete med en 

myndighetsgemensam e-tjänstelegitimation (Magnus 

Enmarker, Försäkringskassan) 

3. Tjänstelegitimering inom hälso- och sjukvårdssektorn 

(Lennart Eriksson, CeHis) 

4. Kammarkollegiets planerade upphandling av tjänstekort 

(Jan Lundh, Kammarkollegiet) 

5. En personlig betraktelse av läget för e-legitimering i 

tjänsten (Wiggo Öberg, MSB)

Kammarkollegiets förstudie 

Organisationslegitimering 

Förstudie FS:2009-04 

Jan Lundh 

2012-01-25

Förstudiens syfte 

Att analysera och klarlägga förutsättningarna för en 

generell ramavtalsupphandling och rekommendera 

om en upphandling skulle göras 

Utgick från behovet av elektronisk legitimering i 

samband med informationsutbyte mellan 

organisationer 

Grundat på Vervas rapport till regeringen: 

”Slutrapport om säkert informationsutbyte och säker 

hantering av elektroniska handlingar, 2008:12”

Möjlig omfattning 

Hela det paket av tjänster, produkter och metoder 

som används i samband med elektronisk legitimering 

för juridiska personer och deras företrädare 

sammanfattas under begreppet 

organisationslegitimering vilket omfattar: 

- E-tjänstelegitimationer 

- Servercertifikat 

- Stämpelcertifikat

Förstudiens slutsatser 

Behov finns av e-tjänstelegitimationer 

E-tjänstelegitimation med organisationsnummer och 

id för fysisk person i certifikatet för privata och 

offentliga organisation 

Affärsmodell där legitimerande part (organisationen) 

avropar från ramavtal och betalar för 

organisationslegitimeringen

Upphandling 

Tre separata upphandlingar skulle göras för: 

- E-tjänstelegitimationer 

- Servercertifikat 

- Stämpelcertifikat 

samt tjänster för stöd och kontroll

Försäkringskassans arbete 

med en myndighetsgemensam 

e-tjänstelegitimation 

Magnus Enmarker MCA – Presentation• 2012-01-11 • Sida 11 

Magnus Enmarker

Myndighets CA - Bakgrund 

Bakgrunden till skapandet av Myndighets CA var att 

generaldirektörerna för Arbetsförmedlingen, Försäkringskassan och 

Skatteverket i september 2007 skrev under ett avtal om samverkan 

mellan myndigheter där ett av målen var att ge medborgaren större 

tillgänglighet. I samband med ovan så tecknade även 

Försäkringskassan och Skatteverket ett avtal för etablering av 

Servicekontor. 

En av förutsättningarna var att kortinloggning till PC’n enbart ska 

behöva ett kort och ett certifikat samt vara skalbar vad gäller 

handläggare, kontor och deltagande myndigheter. 

Resultat var att Försäkringskassan fick uppdraget att skapa en PKIlösning 

med en gemensam CA, portal och identifieringskort där vi 

standardiserar på minsta gemensamma nämnare. Denna gemensam 

CA valde vi att kalla Myndighets CA. 

Magnus Enmarker MCA – Presentation• 2012-01-11 • Sida 12

Myndighets CA - Beslut 

• Minsta gemensamma nämnaren 

• Kort 

– Personnummer 

– Identitet vs behörigheter 

– Delegerad utställning (distans) 

– Java kort 

– Återanvändbarhet 

– Kortprofil 

– Kort design 

• Försäkringskassans kort Servicekontorens kort 


Myndighets CA – Nutid/Framtid 

• Nutid 

– Servicekontoren (1,5 år) 

– Försäkringskassan (utrullning pågår) 

– Projekt pågår/ska startas (2012) 

• Framtid 

– SSL servercertifikat 

– Ansökan till populära webbläsare 

– Revision ska ske regelbundet 

– Självbetjäningsportal 

– S/Mime certifikat 

– Kvalificerade certifikat 


Tjänstelegitimering inom 

hälso- och sjukvårdssektorn 

Lennart Eriksson 

CeHis

16 

Från idé till handlingsprogram – Nationell eHälsa 

2006-2009 2010-2013 

SITHS 

En liten “pusselbit i det stora hela” 

www.cehis.se 2012-01-30 sid 16

SITHS-certifikatet används för flera syften 

•Inloggning till bl. a: 

• Pascal, NPÖ, mm 

• Datorer 

• HSA 

• SITHS i kombination med HSA 

•Grund för SSO 

•Säker e-post 

•Inpassering 

•Fysisk ID-handling 

www.cehis.se 2012-01-30 sid 17 

SITHS kort handlar om våra identiteter, på ett elektroniskt sätt. 

Ett ID-kort i datorn, men vi kallar dem ”certifikat”. 

Det viktiga med SITHS kortet är att elektroniskt kunna visa vem man är; 

oavsett var man är och var den information man behöver för sitt arbete 

finns. 

17 

Krav på användningsområden 

Tydliga krav för patientsäkerheten 

“Starkt” visa vem du är! 

Tydligt underteckna dina beslut! 

Rätt sändare! 

Rätt mottagare! 

Skyddad information!

Kort innehåll 

Chip för lagring av 

e-legitimationer 

Inbyggd funktion 

för beröringsfri 

inpassering 

(RFID-chip) 

Organisationens logga 


Baksida: Magnetremsa 

för t ex 

inpassering 

Baksida: Streckkod

Roller som behöver bemannas 


• Roller som behöver bemannas när en organisation ansluter till SITHS 

är: 

– RA (Registration Authority eller ansvarig kortutgivare). 

– Säkerhetsansvarig. 

– Registeransvarig. 

– KRA (Kort RA eller korthandläggare). 

– LRA (Lokal RA eller Reservkortshandläggare). 

– Support.

HSA (Hälso och sjukvårdens adressregister) 


• Underlag för säkerhet 

• Underlag för Sökningar 

– Källa för att skapa SITHS certifikat – 1177 (Vårdråd på 

– Källa för säkerhetstjänster 

telefon) 

(Egenskapsbaserad behörighet och – Vården på Webben 

SAML-biljett) 

– Telefonkatalog 

– Behörighet i Mina vårdkontakter 

– Skapar konton i 

behörighetssystem (AD) 

– Skapar e-postkonton 

– Hitta kollegor i Sverige

Federationer / andra bärare av SITHS certifikat 

Vad måste uppfyllas? 

•Tillräckliga RAPS, RA m.fl. nivåer 

•Tillräckligt säker korthantering 

•Tillräcklig organisation för hantering 

av reservkort, support m.m. 

•Avtal för tillit m.m 

Certifierade granskare 

(jmfr revisorer) 

A B C 

Identitetsutfärdare (IdP) 

https://idp.organisation.se 






/ 

https://idp.organisation.se/ 

/ 

https://idp.organisation.se/ 

/ 

Styrgrupp 

(intressenter) 

Federationsoperatör 

(.se) 

SAML metadata 

-SAML Intyg - 

VEM, VAD, 

TILLITSNIVÅ, 

EGENSKAPER, 

ATTRIBUT 


Tillitsramverk 

Regelverk 

Avtal 

§ 

§ 

AL3 

AL3 

LoA3 

LoA3 

E-tjänsteleverantör (SP) 


https://sp.organisation.se/ 


https://sp.organisation.se/ 

https://sp.organisation.se/

Kammarkollegiets kommande 

upphandling av tjänstekort 

Jan Lundh 

2012-01-25

Befintligt ramavtal 

Ansvaret för ramavtal inom området övertogs i början 

av 2011 från RPS 

Enbart en leverantör - Gemalto AB 

Giltigt till 2012-08-31, 

Förlängning som längst till 2013-08-31 

Etablering av referensgrupp

Avtalets omfattning 

Del A - Tjänstekort med eller utan EID-chip och 

beröringsfri inpasseringsfunktion m m 

Del B – ID-kort för Försvarsmakten med eller utan 

EID-chip m m 

Programvara för hantering av korten 

Kortläsare 

Avropsberättigade är staten m fl

Kommande upphandling 

Arbete med tjänstekort synkroniseras med arbeten 

kring e-tjänstelegitimationer 

Förstudie hösten 2012 

Upphandling våren 2013

Personlig reflektion – Wiggo Öberg, MSB

Personlig reflektion – Wiggo Öberg, MSB 

MSB-s intresse i denna fråga är kopplat till behovet av en säker 

infrastruktur för elektronisk kommunikation och säkra elektroniska tjänster i 

privat och offentlig sektor. 

MSB medverkar i e-delegationen med det syftet. 

MSB har också ett uppdrag att granska säkerheten i konceptet för elegitimationer.

Reflektioner kring e-tjänstelegitimationer 

• Grundbehovet – Tillit vid relation mellan ”tjänsteman” och annan 

organisation. 

• Många vittnar om behovet – varför tar det så lång tid till lösning. 

• Svår affärsmodell 

• Värna om Grundprinciperna 

• Sträva efter kortlösningar eller motsvarande 

• Endast id-information på e-leg. 

• Organisationers ansvar 

• Förväntan på att e-legnämnden löser allt. 

• Kravbilden är genom tidigare utredningar tämligen klarlagd. Starta ett 

pilotprojekt under e-delegationen.

Wiggos reflektioner – forts. 

• Varför är det så dramatiskt med identifiering i tjänsten? Krånglar 

vi till det alldeles i onödan? 

• Vad är det mer än fördomar som hindrar att en privat e-leg som 

användaren fått via sin arbetsgivare används, med stöd av 

attribut som anger organisationstillhörighet? 

• Börja utveckla en lösning – kraven är definierade! 

• Alla frågor behöver inte ha ett svar när man startar.

Diskussion

Exempel på nyckelfrågor 

1. Är det viktigt att aldrig lägga in roller och behörigheter i elegitimationen? 

2. Är det viktigt att personnummer inte ingår i en e-legitimation 

som används för legitimering i tjänsten? 

3. Måste man använda en särskild e-tjänstelegitimation när man 

ska legitimera sig elektroniskt i tjänsten?

Anställd 

Privat 

Användare 1 

Användare 2 

e-legitimering i tjänsten, skiss 

Regelverk 

e-leg som man fått 

”i ”i tjänsten” 

Myndighet/företag 

(i (i rollen som 

arbetsgivare) 

e-leg som man 

skaffat själv 

Inklusive 

tillitsramverk och 

tekniskt ramverk 

Utfärdare av 

Identitetsintyg 

Attributsintygstjänst 

Utfärdare av 

Identitetsintyg 

Basstruktur offentlig och privat sektor 

Funktioner för 

- godkännande 

- uppföljning 

- test 

Nämnden i rollen 

som ansvarig för 

Bastrukturen

Exempel på nyckelfrågor 

1. Är det viktigt att aldrig lägga in roller och behörigheter i elegitimationen? 

2. Måste man använda en särskild e-tjänstelegitimation när man 

ska legitimera sig elektroniskt i tjänsten? 

3. Är det viktigt att personnummer inte ingår i en e-legitimation 

som används för legitimering i tjänsten? 

4. Vem är utfärdare av en e-legitimation man får i tjänsten? 

5. Finns det olika metoder att kommunicera elektroniskt i 

tjänsten?

Tre metoder att kommunicera 

elektroniskt i tjänsten, skiss 

e-leg gentemot 

interna system 

Myndighetens/ 

företagets 

egna system 

Användare 

Anställd 

kommunikation mellan 

internt och externa system 

behörighetsinfo hanteras i det interna systemet 

e-leg gentemot externa system 

behörighetsinfo måste skickas med , 

hämtas från extern källa eller 

finnas hos den externa aktören 

Offentlig 

e-tjänsteleverantör 

Privat 

e-tjänsteleverantör

Att legitimera sig elektroniskt i tjänsten 

• Mycket är redan gjort men det gäller 

• att generalisera och 

• att koordinera 

Tack för att ni deltagit !

Introduktion, Kammarkollegiet, Försäkringskassan, Cehis, MSB

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?