Kommuner brottas med valet av e-legitimation för LoA3

  • Digitalisering

Utmaningen: hitta rätt säker inloggning

Svenska kommuner står inför kravet att införa e-legitimering på LoA3 (Level of Assurance 3) – en hög tillitsnivå – i enlighet med Myndigheten för digital förvaltning (DIGG). Detta innebär att anställda som loggar in i känsliga e-tjänster måste identifiera sig med en statligt godkänd e-legitimation med stark säkerhet​

e-identitet.se. Men vilken lösning ska man välja? De vanligaste alternativen i dag är SITHS, Freja eID och BankID. Var och en uppfyller visserligen DIGG:s tekniska krav, men har olika för- och nackdelar. Valet har blivit ett dilemma där kommunernas IT-beslutsfattare måste väga säkerhet, kostnader och användarvänlighet – samtidigt som medarbetarna själva har åsikter om vad som fungerar i praktiken.

“Att välja rätt, finns flera olika och vi har inte råd att välja fel och göra om,” uttryckte en kommun i en enkät från SKR, och efterlyste tydligare nationell styrning – otydlighet skapar “merkostnad och osäkerhet”

skr.se. Detta sammanfattar den osäkerhet många beslutsfattare känner. Nedan går vi igenom kommunernas perspektiv, både från strategiska beslutsfattare och från slutanvändarna, samt jämför de tre e-legitimationerna och varför uppfattningarna om dem går isär.

Beslutsfattarnas perspektiv: säkerhet vs. kostnad

IT-chefer och säkerhetsansvariga i kommuner har i uppgift att garantera att kommunen lever upp till DIGG:s LoA3-krav. Det innebär att de e-legitimationer som används för tjänsteinloggning måste vara granskade och godkända av DIGG, vilket i praktiken begränsar urvalet till ett fåtal alternativ​

e-identitet.se. På pappret kan alla tre uppfylla kraven på stark autentisering, men valet får konsekvenser för budget, teknik och personal.

En stor huvudvärk är den ekonomiska och tekniska risken vid felbeslut. En felinvestering skulle innebära att man får byta spår längre fram, med dubbel arbete och kostnader som följd. SKR:s enkät pekar på att många önskar att “regeringen/SKR […] kunde ta ett beslut om vad som ska gälla” eftersom nuvarande otydlighet leder till extra kostnader och osäkerhet​

skr.se. Idag saknas nämligen en enhetlig nationell tjänstelegitimation för offentligt anställda, vilket tvingat kommunerna att själva navigera mellan olika lösningar.

Historiskt har det också funnits ett tomrum: under flera år saknades en utbredd organisationslegitimation för kommunanställda. I brist på bättre alternativ har många myndigheter och kommuner helt enkelt låtit personalen använda sina privata e-legitimationer för att logga in i tjänster​

skr.se. Det har fungerat, men är inte optimalt ur ett styrnings- och säkerhetsperspektiv. Beslutsfattare brottas därför med frågor som: Ska vi fortsätta på den inslagna vägen med BankID som “alla” har? Vågar vi satsa på en ny mobil lösning? Eller är det säkrare att hålla sig till beprövade SITHS-kort? Svaret påverkas av kostnadsläget och tekniska förutsättningar för varje alternativ – och av hur medarbetarna reagerar på valet.

Medarbetarnas perspektiv: användarvanor och integritet

För de anställda som ska använda e-legitimationen i sitt dagliga arbete märks valet på ett mer personligt plan. Det handlar om hur smidigt inloggningen fungerar och om de känner förtroende för metoden. Här finns delvis andra prioriteringar än för IT-avdelningen.

Många kommunanställda har hittills använt BankID – samma e-legitimation som privatpersoner använder för banker och myndigheter – även i jobbet. Fördelen är att de flesta redan har Mobilt BankID på sin telefon; 8 miljoner svenskar beräknades ha BankID redan 2019​ skr.se, så tröskeln att komma igång är låg. Men det finns också en baksida: bland personalen finns ett motstånd mot att använda sin privata e-legitimation i tjänsten skr.se.

Flera kommuner rapporterar att “användaren är inte bekväm med att använda sitt privata BankID i tjänsten”skr.se. Det upplevs blanda samman det privata och yrkesrollen på ett sätt som “inte känns rätt”, enligt en medarbetare, som efterlyser “ett eID som är knutet till kommunen men ändå personligt”skr.se. Även fackliga organisationer har invändningar mot att arbetsgivaren bygger säkerheten på de anställdas privata BankID​skr.se.

När det gäller SITHS-kort (tjänstelegitimationer) har dessa traditionellt använts i t.ex. hälso- och sjukvården och inom kommunala verksamheter med höga säkerhetskrav. Ur medarbetarens synvinkel erbjuder SITHS en tydlig separation – det är ett rent tjänste-ID. Många upplever SITHS som säkert och pålitligt. Samtidigt medförde det gamla upplägget med fysiska smartkort en praktisk tröskel: man måste ha sitt kort och en kortläsare till hands, installera drivrutiner, och komma ihåg PIN-koder. I en tid när det mesta sköts via mobilen upplevs det omständligt att behöva ett separat kort bara för att logga in. Trenden går också mot att “frigöra sig från plastkort och gå mot en mobil lösning”, vilket anses kunna sänka kostnader och förenkla utfärdandet​it-kanalen.se.

Att Inera nyligen lanserat Mobilt SITHS (en mobil variant av SITHS e-legitimation) tyder på att även SITHS-världen försöker möta kraven på smidigare användning​digg.se.Freja eID (framför allt Freja eID Plus för privatpersoner och Freja OrgID för tjänsteidentitet) är för många anställda ett nytt verktyg. Det är en mobilapp-baserad e-legitimation som kräver att användaren registrerar sig och verifierar sin identitet en gång, till exempel via scanning av ID-handling och ett foto. Många kommuner erbjuder redan Freja eID som alternativ inloggning för invånare, så en del anställda känner kanske igen namnet. För användaren har Freja fördelen att det är gratis att skaffa (man behöver inte vara bankkund eller betala något för appen)​ ronneby.se, och den är statligt godkänd precis som BankID.

En viktig skillnad är att Freja möjliggör att man har separata profiler för privat och arbete. Freja OrgID, som utfärdas i samarbete med arbetsgivaren, ger en tjänsteidentitet som är skild från ens privata e-legitimation​ it-kanalen.se. Detta direkt adresserar den integritetsfråga många anställda lyft – man slipper använda sin privata identitet för att styrka sin tjänsteroll. För användaren innebär Freja i praktiken ytterligare en app att hålla reda på, men upplägget liknar BankID i hur man loggar in (mobilen används för att godkänna legitimering eller signering).

Sammanfattningsvis vill medarbetarna ha en inloggningsmetod som är enkel att använda, fungerar överallt där de behöver den, och inte inkräktar på privatlivet. Om metoden upplevs krånglig eller principiellt tveksam kan det leda till motstånd och låg acceptans, vilket i sin tur påverkar hur effektivt kommunen kan införa nya e-tjänster.

Delade meningar om bästa vägen framåt

Givet dessa skillnader är det kanske inte förvånande att olika kommuner – och olika intressenter inom kommunen – förespråkar olika lösningar. Varför råder det så olika uppfattningar om vilken metod som är mest lämplig? Flera faktorer spelar in:

  • Historik och förtroende: BankID har funnits längst i bred användning och har ett stort förtroende bland allmänheten. Att det är en väl beprövad teknik som “alla” använder gör att många känner sig trygga med det valet. SITHS har å sin sida ett starkt renommé inom offentlig sektor (framförallt vård och omsorg) som en säker och pålitlig tjänstelegitimationalla regioner och kommuner använder SITHS i någon form redan​digg.se, vilket gör det till ett naturligt val för vissa säkerhetschefer. Freja eID är nyare på marknaden, vilket gör att en del initialt varit avvaktande. Men allteftersom fler kommuner testar och implementerar Freja OrgID, ökar tryggheten i att även denna lösning håller måttet. Flera stora kommuner (inklusive Uppsala, landets fjärde största) har nyligen gått över till att rulla ut Freja för sina anställda​view.news.eu.nasdaq.com, med hänvisning till att den uppfyller högt ställda krav på både användarvänlighet och kostnadseffektivitetview.news.eu.nasdaq.com. Denna “referenskundeffekt” bidrar till att öka förtroendet för Freja i fler kommuner. Samtidigt finns en konservatism hos vissa – man vet vad man får med BankID eller SITHS och föredrar det invanda framför något nytt, även om det nya har fördelar.
  • Säkerhet och kontroll: Ur strikt säkerhetssynpunkt gillar många experter principen att separera privat och arbetsrelaterad identitet. Här framstår SITHS-kort eller Freja OrgID som idealiska, eftersom de utfärdas i tjänstesyfte och kan återkallas av arbetsgivaren vid behov (t.ex. när en anställd slutar). BankID kan inte arbetsgivaren kontrollera på samma sätt – det är ju personens privata banklegitimation. Vissa ser det som en risk att kommunen är utlämnad till en extern aktör (bankerna) för något så kritiskt som personalens identiteter, och dessutom utan koppling till anställningen​skr.seskr.se. Andra invänder att BankID uppfyller hög säkerhet och att interna processer för att hantera behörigheter kan lösa kopplingen ändå. Synen skiljer sig alltså kring hur stor betydelse rollbunden identifiering har: de som betonar detta föredrar ofta SITHS/Freja, medan de som anser att det går att lösa på andra sätt kan acceptera BankID.
  • Användarupplevelse: Här är bekvämlighet vs. principiell avgränsning en skiljelinje. Många användare och chefer uppskattar enkelheten i att använda en redan välkänd app (BankID) – minimal nyinlärning och snabb inloggning, ofta med telefonen som man ändå har framme. Å andra sidan finns de som, av skäl nämnda tidigare, ogillar att blanda privat och jobb i samma app. Freja och SITHS tillgodoser behovet av separering, men har i utgångsläget färre användare vardera. För SITHS har dessutom användarvänligheten historiskt varit lägre p.g.a. fysiska kort. Men med nya mobila varianter och med att fler redan skaffat Freja för privata ärenden, minskar gapet. Det är inte givet vilken lösning medarbetarna själva föredrar – det kan skilja mellan olika personalgrupper. Exempelvis kan tekniskt vana användare uppskatta att få en dedikerad tjänstelegitimation i mobilen (så de slipper kort), medan andra kan tycka det är onödigt omständligt jämfört med BankID som de redan använder dagligen. Kommunernas val påverkas därför av hur de väger risken för motstånd eller supportbehov bland personalen.
  • Ekonomi och praktiska förutsättningar: Slutligen spelar kostnader och resurser en stor roll. En lösning som kräver utdelning av fysiska kort till tusentals anställda kan vara logistiskt utmanande och dyr, vilket kan göra att en kommun med begränsad budget drar sig för en fullskalig SITHS-utrullning. Samtidigt kan en tick-baserad betallösning (per inloggning) som BankID över tid bli kostsam om användningen skjuter i höjden – något som några offentliga aktörer redan märkt av​skr.se. Frejas fastpris-modell kan då locka ur ett ekonomiskt perspektiv. Men om kommunen redan har en fungerande BankID-infrastruktur för medborgare, kan marginalkostnaden för att även låta anställda använda den vara liten, åtminstone kortsiktigt. Olika kommuner har olika utgångslägen: vissa har redan investerat i SITHS för t.ex. vårdpersonal och kan utöka det, andra kanske saknar kortinfrastruktur helt och då framstår en mobil lösning som mer realistisk. Även support och driftfrågor spelar in – en kortbaserad lösning kräver kortadministration, medan BankID/Freja är molntjänster där drift sköts centralt. Prioriterar man minimerad lokal administration vinner BankID/Freja poäng; vill man ha full kontroll i egen regi kan SITHS kännas tryggare.

Det råder alltså olika uppfattningar därför att varje alternativ innebär avvägningar. Ingen metod är perfekt ur alla aspekter, och olika kommuner betonar olika kriterier. BankID erbjuder maximal räckvidd och enkelhet men mindre kontroll över identitetens koppling till organisationen. SITHS ger hög kontroll och förtroende internt, men med högre praktisk kostnad och komplexitet. Freja försöker kombinera det bästa av två världar (mobil enkelhet + tjänsteidentitet), men behöver nå upp i samma spridning och förtroendenivå som de mer etablerade.

Mot en lösning – samverkan och erfarenhetsutbyte

Den pågående utvecklingen tyder på att kommunerna successivt närmar sig mer enhetliga lösningar. Att BankID länge dominerat marknaden (73 % av offentliga aktörer använde det 2019)​ skr.se har på gott och ont format vanorna. Men nu ser vi en omställning där allt fler offentliga aktörer “frångår användandet av privata e-legitimationer i tjänsten” view.news.eu.nasdaq.com till förmån för särskilda tjänstelegitimationer. Freja OrgID:s framväxt – från pilot i ett fåtal kommuner till avtal med var femte kommun på bara ett par år​ it-kanalen.se – visar på en tydlig trend. Samtidigt moderniseras SITHS för att möta liknande behov av mobilitet och användarvänlighet​ digg.se. Det är inte osannolikt att både SITHS och Freja kommer att användas sida vid sida framöver, beroende på kontext: vissa kommuner kanske standardiserar på Freja för sin personal, medan SITHS lever kvar för särskilda system eller som backup. BankID lär fortsätta vara viktig, inte minst för att många statliga e-tjänster som kommunanställda behöver använda fortfarande kräver BankID-inloggning – tills ett likvärdigt alternativ finns överallt.

För beslutsfattare gäller det nu att dra lärdom av andras erfarenheter. Flera kommuner har uttryckt önskan om en gemensam lösning för hela sektorn​skr.se, och här kan samverkan via SKR och Digg spela en roll i att sprida bästa praxis. I slutändan handlar det om att balansera säkerhet, kostnad och användaracceptans. Varje kommun behöver analysera sin egen verksamhet: Hur ser våra risker ut? Vad är vi beredda att investera? Och hur får vi med oss våra anställda på resan?

Slutsatsen är att utmaningen med LoA3-identifiering inte enbart är teknisk – det är i högsta grad en verksamhetsfråga. Genom att noga väga beslutsfattarnas och slutanvändarnas perspektiv, samt förstå de verkliga kostnaderna och hindren hos varje alternativ, kan kommunerna fatta mer informerade beslut. Och oavsett om valet faller på SITHS-kort, en mobil nykomling som Freja, eller en kombination där även BankID fortsatt har sin plats, så är målet detsamma: en säker, smidig och inkluderande e-legitimation som både organisationen och medarbetarna känner tillit till. Med tiden och ökad samordning kan det mycket väl visa sig att en tydligare standard växer fram, men tills dess behöver varje kommun göra sitt bästa utifrån de alternativ som finns – och hantera den knepiga balansakten att välja “rätt” e-legitimation för framtiden.​ skr.se

Dela denna nyhet

Läs även andra nyheter

SDK.se

SDK.se drivs som ett öppet projekt för att sprida och dela information om Säker Digital Kommunikation i synnerlighet och digital transformation i allmänhet. Vi välkomnar alla att skicka in information för publicering av information på sidan. All information kan fritt användas om källan uppges.

Utgivare av sidan är ITSL Solutions AB som skapat denna plattform för att främja och stödja personer och organisationer i deras arbete kring Säker Digital Kommunikation (SDK).

Meny

Utforska

Kontakt

ITSL Solutions AB

kontakt@sdk.se
070-330 11 89

Universitetsallén 32
852 34 Sundsvall, Sweden

Kontakta en expert

Fråga en Expert” är en tjänst som SDK.se tillhandahåller för att hjälpa er med specifika frågor som inte enkelt kan besvaras direkt på vår hemsida. Frågorna kan handla om allt från juridik och informationssäkerhet till avtal och hur SDK fungerar i praktiken. Våra experter kan också ge råd om hur ni bäst anpassar er verksamhet för att uppnå optimal säkerhet och effektivitet.

Så här fungerar det:

  1. Ställ din fråga: Använd vårt formulär för att skicka in er fråga. Formuläret finns tillgängligt på vår hemsida under ”Fråga en Expert”.
  2. Matchning med expert: SDK.se matchar er fråga med en passande expert inom området. Våra experter är noggrant utvalda och presenteras separat under ”Kontakta oss” på SDK.se.
  3. Få ett svar: I den första kontakten får ni ett kostnadsfritt svar som är skräddarsytt för er organisations behov.
  4. Vidare konsultation: Om ni behöver ytterligare rådgivning eller längre konsultationer, kan ni och experten besluta om detta affärsmässigt. SDK.se tar inte ansvar för den fortsatta kontakten utan tillhandahåller enbart matchningstjänsten i initialt skede.

Ingen kostnad för första kontakten

Den initiala kontakten med experten genom ”Fråga en Expert” är kostnadsfri. Detta gör att ni kan få värdefull vägledning utan några inledande kostnader. Eventuell vidare konsultation avtalas direkt mellan er organisation och experten.

Läs mer om ”kontakta expert” här.

 

Kom i kontakt med en expert.

Maila
070-330 11 89
Boka
eller
Namn: *
E-postadress: *
Organisation:
Meddelande
Läs vår integritetspolicy

Samverkanshuben för SDK

Var en del av ett levande community kring SDK och frågor kring säkra meddelanden och videomöten.  Är du redo att ta nästa steg mot en säkrare digital värld?

Vi har gjort det mycket enkelt för dig att bli medlem i vår hub. Det enda som du behöver göra är att gå till samverka.hubs.se (eller klicka på knappen bredvid) och identifiera dig med Bank-Id. då kommer du få en användare på plattformen. 

Om  du inte vill  använda ditt Bank-Id kan du fylla i infomrationen i fomruläret bredvid  och vi kommer att skapa upp en användare åt dig.

Samtliga användare som registrerar sig kommer vi att placera i en grupp baserat på den e-post som man ansluter med. Grupperna är Kommun, Region, Myndighet, Privat.  Anledningen till detta är att det ska vara möjligt att särskilja olika diskussioner på huben. 

Har ni frågor är det bara att kontakta oss på SDK.se 

Kom igång idag.

Logga in eller ansök om konto nedan.

Skapa konto/ logga in i samverkanshub
eller
Ansökan utan BankId
Namn: *
E-postadress: *
Organisation: *
Läs vår integritetspolicy