Comfact logo
Plånboken
Vad säger lagen och hur påverkas plånboken?

Lagstiftning

Lagstiftning som påverkar plånboken finns både på nationell och europeisk nivå. Denna reglerar bl.a. säkerhet, integritet och tillgänglighet. Stora delar av lagstiftningen finns på plats men vi kan förvänta oss ytterligare lagstiftning som är specifik för plånboken som t.ex. grundidentifiering och gränssnitt.

eIDAS

I Europa har vi sedan 2014 EU förordningen eIDAS som definierar betrodda tjänster inom området digitalt förtroende.

 

Exempel på betrodda tjänster är elektronisk underskrift, sigill, säker leverans och certifikat för fysiska och juridiska personer. Här är en översikt av betrodda tjänster.

 

Förordningens syfte var att stärka Europas konkurrenskraft och förbättra medborgares säkerhet och integritet på Internet. Framgången av förordningen uteblev dock då användandet av betrodda tjänster inte fick det genomslag som förväntades. Här finns en rapport från Kommissionen till parlamentet och rådet med en utvärdering av eIDAS.

 

EU förordningar revideras regelbundet och EU Kommissionen har lämnat ett förslag (juni 2021) till parlamentet som väsentligt utökar området betrodda tjänster. Förslaget är ett ramverk för digitala identiteter i Europa. Vi brukar kalla den reviderade förordningen eIDAS2.

 

Ramverket skall garanteras av medlemsstaterna som utan kostnad skall tillhandahålla plånboken och elektroniska identiteter på högsta tillitsnivån till fysiska och juridiska personer. Den svenska regeringen informerade 2022-12-22 att den vill införa en ”ny säkrare e-legitimation i Sverige” – och tillsätter därför en utredare. Det är nog lite bråttom med detta eftersom när parlamentet godkänt eIDAS2 så måste medlemsstaterna tillhandahålla eID på högsta nivån till alla sina medborgare. Regeringen kommer i princip att fatta ett beslut om något som med stor sannolikhet kommer att vara obligatoriskt inom kort genom en bindande rättsakt som alla EU-länder ska tillämpa.

Delegerade akter och genomförandeakter

eIDAS förordningen ger Kommissionen mandat att utfärda delegerade akter och genomförandeakter (Delegated and implementing acts) för att definiera tekniska specifikationer och säkerställa ett harmoniserat genomförande. Dessa akter kan t.ex. vara vilka signaturalgoritmer som tillåts.

 

Med stor sannolikhet kommer Kommissionen att besluta om akter för plånboken och dess eID. Sådan akter kan t.ex. vara det gränssnitt som ska användas mellan plånböcker (NFC, QR, Bluetooth, etc.) och kommunikation mellan plånbok och dator.

GDPR - Dataskydds förordningen

General Data Protection Regulation - GDPR (Dataskyddsförordningen) är en EU-förordning om dataskydd och integritet inom EU och europeiska ekonomiska samarbetsområdet. Denna förordning är mycket viktig för plånboken eftersom den innehåller personuppgifter och i en del fall mycket känslig information som måste skyddas.

 

Plånboken skall förutom att skydda information i plånboken också registrera vilken information som lämnar eller kommer in i den. När information lämnar plånboken skall detta ske med en krypterad och skyddad förbindelse för att skydda innehavarens integritet.

WCAG - Web Content Accessibility Guidelines

Web Content Accessibility Guidelines (WCAG) är en del av en serie riktlinjer för webbtillgänglighet som publicerats av Web Accessibility Initiative (WAI) från World Wide Web Consortium (W3C), den främsta internationella standardiseringsorganisationen för Internet.


Eftersom plånboken till viss del kommer att interagera med Internet måste webbtillgänglighet uppfyllas för de som har en funktionsnedsättning. Det kan knappast gå att hävda att plånboken inte berörs av dessa vägledningar. Detta är också en lag och vad som skall uppfyllas är riktlinjerna i WCAG 2.1 nivå AA senast den 23 september 2020 ska lagkraven för ökad digital tillgänglighet vara uppfyllda.

EU Cybersecurity act

Cybersäkerhetslagen (CSA) är en förordning som stärker EU:s byrå för cybersäkerhet (ENISA) och upprättar ett ramverk för cybersäkerhetscertifiering för produkter och tjänster.

 

Cybersäkerhet är viktig för många aspekter av plånboken och det är möjligt att några av dessa kommer att kräva certifiering. En sådan aspekt är certifiering genom skyddsprofiler som kan utvecklas av ENISA eller CEN.


Ett mycket viktigt dokument är Cybersecurity certification V1.1.1 May 2021 som är ett resultat av CSA. Detta dokument definierar certifiering av produkter och tjänster inom området ICT (Information and communication technologies). Denna certifiering kommer att förbättra EU:s villkor för den inre marknaden för ICT-produkter och tjänster genom ökad och förbättrad informationssäkerhet.


Det ser just nu ut som att kunskap och förståelse i Sverige inom detta område är begränsad. När upphandlingar börja kräva att produkter och tjänster ska certifieras kommer nog intresset att öka. En certifiering är omfattande och mycket kostsam. Ett sätt att förbereda detta är att göra en bedömning av viktiga aspekter och dokumentera hur dessa uppfylls.


NIS-direktivet

NIS-direktivet är den första delen av en EU lagstiftning inom cybersäkerhet. Det tillhandahåller rättsliga åtgärder för att höja den övergripande nivån av cybersäkerhet inom EU för nätverk och informationssystem. Direktivet ställer krav på säkerhetsåtgärder och incidentrapportering för leverantörer av digitala tjänster. Eftersom detta är ett direktiv måste det bli svensk lag innan det gäller i Sverige som är uppdelad i en lag och en förordning:

  • Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
  • Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster

Myndigheten för samhällsskydd och beredskap (MSB) har föreskriftsrätt inom detta område och fem föreskrifter är just nu ikraft.

NIS2-direktivet

NIS2-direktivet är ett reviderat direktiv om säkerhet för nätverk och informationssystem som godkändes av Rådet 2022-11-28 och ersätter NIS-direktivet. Medlemsländerna har 21 månader på sig från det att direktivet har trätt i kraft på sig att införliva bestämmelserna i sin nationella lagstiftning.

 

NIS2 kommer att vara grunden för riskhantering inom cybersäkerhet och rapporteringsskyldigheter inom alla sektorer som omfattas av direktivet, såsom energi, transport, hälsa och digital infrastruktur.

Schrems domarna

Schrems II är ett domstolsbeslut av EU-domstolen som kom 16 juli 2020. Denna fastställer att det avtal (Privacy Shield) som tidigare fanns mellan EU och USA inte gav personuppgifter det skydd som krävs vid överföring av information till USA. Namnet ”Schrems” kommer från en österrikisk jurist, Maximillian Schrems, som var initiativtagare till att driva detta rättsfall.Det finns också ett rättsfall som kallas Schrems I som underkände avtalet för dataöverföring som heter Safe Harbour.

 

Det finns de som tror att det kommer en Schrems III dom som då skall gälla för den överenskommelse som förhandlas mellan EU och USA.

 

Riktningen på skydd av personuppgifter ser ut att bli striktare där inte bara personuppgifters lagringsplats är av betydelse, utan även vilken juridisk person som t.ex. äger de servrar som uppgifter lagras. Det är just nu med Schrems II inte tillåtet för offentliga förvaltningar att lagra personuppgifter på servrar i Sverige som ägs av ett amerikanskt företag.

 

Schrems domarna gäller hantering av personuppgifter och är därför mycket relevanta för plånboken. Det pågår arbete och utredningar för att fastställa hur personuppgifter ska skyddas och hanteras i plånboken. Med stor sannolikhet kommer skydd och hantering att definieras genom skyddsprofiler som måste uppfyllas vid utveckling av applikationerna för plånboken.