Projektbeskrivning av SE-leg

Projektbeskrivning av SE-legprojektet:

Nationell infrastruktur för legitimationskontroll

Projektets syfte att säkerställa tillgängligheten till svensk e-legitimation genom att ta fram en gemensam nationell distribuerad tjänst för legitimationskontroll av personer. Legitimationskontrollen för e-legitimation är den process varigenom en fysisk identitet verifieras och knyts till en digital identitet.

Vision
I framtiden ges alla invånare tillgång till en offentlig och enkel process som identifierar personer och möjliggör tillgång till de digitala tjänster som användaren önskar använda. Då består Svensk e-legitimation av ett antal innovativa aktörer som tillsammans erbjuder alla personer som verkar i Sverige enkel och säker inloggning till samhällets och den privata marknadens digitala tjänster.

Aktörer

  • SUNET – Projektägare. Ansvarar för tekniska specifikationer och implementation.
  • SKL – Ansvarar för kontakt med organisationer som driver samhällskontor.

 

För mer info kontakta 

Fresia Pérez

Projektledare
0704 91 11 41

Leif Johansson

CTO, Säkerhet, identitet, standardisering & strategi

Valter Nordh

CTO, produktchef SWAMID & TCS
0707 88 47 42

Behov och omvärldsanalys

Det nya ramverket för svensk e-legitimation utgår ifrån att ett antal oberoende leverantörer ska konkurrera med varandra på en marknad där kunderna utgörs av förlitande parter (e-tjänster).

Erfarenheten från andra länder visar också på att system med få utfärdare medför avsevärda risker (till exempel Diginotar-fallet i Holland). Den affärsmodell som e-legitimationsnämnden etablerat för valfrihetssystemet för Svensk e-legitimation är baserat på tanken om ett fixerat och förutsägbart pris mot de myndigheter soim erbjuder digitala tjänster. De företag som tidigt visat intresse av att etablera sig som utfärdare av e-legitimation (till exempel Telia och Svensk e-identitet) vittnar om att det främsta hindret utgörs av svårigheten att etablera en landsomspännande funktion för legitimationskontroll av personer.

Vi ser alltså att den affärsmodell som valts i syfte att göra e-legitimationer attraktiva för förlitande parter ställer krav på en lösning för effektiv legitimationskontroll av personer för att nya aktörer ska våga ta steget in på en lönsam marknad.

Projektförslag

Vi föreslår ett projekt som tar fram en specifikation av ett protokoll samt en proof-of-concept implementation för kommunikation mellan organisationer som driver tjänst för legitimationskontroll av användare å ena sidan och utfärdare av e-legitimationer å andra sidan. Målet är att göra det möjligt för en person att starta en ansökningsprocess om e-legitimation på webben, få till exempel en QR-kod och sedan gå in på exempelvis ett apotek eller ett samhällskontor och genomföra en legitimationskontroll. Som resultat få en koppling till personinformation hos en utfärdare av e-legitimation och som resultat få e-legitimation. Tanken är att ett sådant “kvitto” ska vara en mycket kortlivad representation av legitimeringen.

Genom ett sådant upplägg blir teknologin för inloggningstoken helt frikopplat från var, när och hur legitimationskontrollen sköts. Vidare blir ansvaret för den organisation som genomför legitimationskontrollen begränsat – organisationer som är väl lämpade att göra en legitimationskontroll (till exempel bibliotek, apotek, polis eller andra samhällsfunktioner) behöver inte ta ansvar för att driva system för inloggning till e-tjänster, underhålla teknologi för tokens samt driva andra funktioner som kräver ett mer långtgående ansvar.

Ett lyckat projekt leder till etableringen av en ny offentlig process för legitimationskontroll, genomförd i samarbete med både statliga och kommunala publika instanser, som säkerställer att e-ID utfärdare ges tillgång till en enkel skalbar process för att verifiera identiteten hos sina användare. En stor del av framgångsfaktorn (innovationen) ligger i att processen för grundidentifiering är teknikneutral och kan användas av såväl existerande som nya utfärdare av e-legitimation. Denna process ger även möjlighet för de som idag inte kan få ett BankID att få en e-legitimation.

Mål vid projektavslut

  • Det finns en specifikation för en funktion för grundidentifiering.
  • Genomförd implementation hos minst två identitetsutfärdare.
  • Funktionen är implementerad på minst två samhällskontor.
  • Det finns en plan för långsiktig drift och förvaltning inklusive affärsmodell.

Organisation
Projektet kommer drivas av SUNET med SKL som partner. SKL ansvarar för kontakt med organisationer som kan genomföra fysisk legitimationskontroll, till exempel bibliotek, apotek och andra organisationer som driver någon form av samhällskontor. SUNET och SKL kommer tillsammans att identifiera minst två IdP:er där identifieringsfunktionen kan integreras. Möjliga kandidater är Telia och Svensk e-identitet. Sunet  ansvarar för specifikation och implementation av alla tekniska funktioner.

Tidsplan

  • Fas 1a
    Design och specifikation av proofing-protokoll
    Börjar: Q12016
    Klart: Q12016
  • Fas 1b
    Identifiering av PoC partners (2-3 samhällskontor, 2 IdP:er)
    Börjar: Q12016
    Klart: Q22016
  • Fas 2a
    Implementation & test
    Börjar: Q22016
    Klart: Q42016
  • Fas 2b
    Integration med minst 2 IdP:er
    Börjar: Q32016
    Klart: Q42016

Budget

Projektets direkta kostnader uppstår till största del genom kostnader för arbetstid för utveckling av prototyp och specifikationer. Projektets totala omfattning uppskattas till 3 mnkr under ett år. Projektets aktörer och engagerade kommuner bidrar med egenfinansiering i form av projektstyrning, projektarbete, införande, lokaler, utrustning och andra indirekta kostnader som uppskattas till totalt 1 mnkr. De indirekta kostnaderna delas mellan SUNET och SKL.
Totalkostnad för projektet: 3,5 mnkr
Sökt belopp från Vinnova: 2,5 mnkr
Egenfinansiering från sökande organisation: 0,5 mnkr
Andra parters finansiering i projektet: 0,5 mnkr

Förankring
SUNET och SKL har under lång tid deltagit i diskussionen kring Sveriges nuvarande och framtida e-legitimationssystem. Representanter från både SUNET och SKL har haft löpande diskussioner med e-legitimationsnämnden, Post och Telestyrelsen och Näringsdepartementet kring frågor som rör Svensk e-legitimation inklusive den idé som beskrivs i detta projektförslag.

Spridning av resultat
För att skapa engagemang och spridning kommer arbetet vid flera tillfällen kommuniceras gentemot intressenterna kring elektronisk identifiering i Sverige. Detta innefattar intressesfären kring svensk e-legitimation, e-legitimationsnämnden och e-förvaltningsenheten vid näringsdepartementet. Projektdeltagarna närvarade vid e-legitimationsdagarna både 2016 samt 2017 och kommunicerade kring det pågående arbetet. Projektets slutrapport kommer utformas som en rekommendation om hur Svensk e-legitimation kan nyttja en nationell funktion för grundidentifiering för att underlätta och stimulera både innovation och användning av Svensk e-legitimation.

Risker och riskhantering

Risker och Riskhantering

Uppföljning och utvärdering
Projektet kommer att tillsätta en referensgrupp som får uppdrag att utvärdera projektet.
Vi kommer följa upp arbetet genom att säkerställa att projektet ger svar på frågorna

  • Hur omfattande blir arbetet att integrera funktionen i en e-legitimationsutfärdare?
  • Hur svårt och omfattande uppfattas processen hos samhällskontor?
  • Vilka är de främsta förbättringsmöjligheterna inför en permanent drift av funktionen?