PROMEMORIAFINANSMINISTERIET9.9.2021EU/2021/0586KOMMISSIONENS FÖRSLAG TILL EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING OM ÄNDRING AV FÖRORDNING (EU) NR 910/2014 VAD GÄLLER INRÄTTANDET AV EN RAM FÖR EUROPEISK DIGITAL IDENTITET
1
Bakgrund
Den 3 juni 2021 lade kommissionen fram ett förslag till Europaparlamentets och rådets förordning om ändring av förordningarna (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (COM (2021) 281 final). Syftet med kommissionens förslag är att ändra EU-förordningen om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (nedan eIDAS-förordningen). Förslaget är en av åtgärderna i EU:s digitala strategi (COM (2020) 67 final). Kommissionen har också gett meddelandet Digital kompass 2030: den europeiska vägen in i det digitala decenniet (COM (2021) 118 final). I meddelandet ställer kommissionen bland annat upp som mål att skapa ett digitalt medborgarskap och att medborgarna ska ha tillgång till de digitala offentliga tjänsterna med hjälp av en universell digital identitet. I meddelandet ställer kommissionen upp konkreta mål för de digitala offentliga tjänsterna inom EU före 2030, såsom att 80 procent av medborgarna ska ha möjlighet att använda en digital id-lösning. Förslaget till förordning om inrättandet av en ram för europeisk digital identitet bidrar till att uppnå målen i meddelandet i fråga.
Syftet med eIDAS-förordningen är att stärka förtroendet för elektroniska transaktioner och tjänster på den inre marknaden. För att e-tjänster och elektroniska transaktioner ska fungera krävs att parterna har förtroende för varandras identitet och elektroniska dokument. eIDAS-förordningen gäller i första hand på de system för elektronisk identifiering som medlemsstaterna har anmält, där användarna kan identifiera sig i e-tjänster inom en annan medlemsstats offentliga förvaltning. Elektronisk identifiering är ett sätt att stärka förtroendet mellan parterna, eftersom en person kan verifiera sin identitet i e-tjänsterna på ett tillförlitligt sätt med hjälp av identifieringsverktyget. I förordningen föreskrivs också om kraven på betrodda elektroniska tjänster och om skyldigheterna för dem som tillhandahåller dessa tjänster. Syftet med de betrodda tjänsterna är att bygga upp förtroendet för elektroniska dokument och processer.
I eIDAS-förordningen ingår en bestämmelse som kräver att kommissionen gör en översyn över förordningens tillämpning inom en viss tid efter ikraftträdandet. Förslaget grundar sig på kommissionens översyn. Översynsprocessen inkluderade ett offentligt samråd sommaren 2020 och kommissionen kartlade också medlemsstaternas erfarenheter av att tillämpa förordningen. Finland svarade på det offentliga samrådet utifrån riktlinjerna för föregripande inflytande (E 109/2020 rd). Enligt kommissionen visade översynen att efterfrågan på lösningar med anknytning till hanteringen och användningen av elektroniska identiteter har ökat på marknaden. Det räcker inte längre med att identiteten kan styrkas på ett tillförlitligt sätt. Det behövs även möjligheter att styrka andra uppgifter med anknytning till en persons identitet, såsom uppgifter om avlagd examen eller förarbehörighet. Med hjälp av lösningar med anknytning till hanteringen av elektroniska identiteter kan man förbättra effektiviteten och stärka förtroendet i hela EU, inom såväl den offentliga som den privata sektorn.
2
Förslagets mål
Det övergripande målet med förslaget är att säkerställa en välfungerande inre marknad såväl i medlemsstaternas verksamhet som i verksamheten mellan olika branscher. Avsikten är att stödja verksamheten inom såväl den offentliga som den privata sektorn.
Utöver detta allmänna mål eftersträvas med förslaget i synnerhet att säkerställa tillgången till mycket säkra och tillförlitliga digitala id-lösningar för alla medborgare, invånare och juridiska personer i EU. Användningen av dessa tjänster ska grunda sig på användarnas behov och de ska kunna användas i medlemsstaternas gränsöverskridande verksamhet. Ett annat mål är leverantörerna av tjänster inom den offentliga och den privata sektorn ska kunna förlita sig på de digitala id-lösningarna när användarna nyttjar och identifierar sig i deras tjänster. Det centrala målet med förslaget är att säkerställa EU-medborgarnas möjlighet att kontrollera sina egna personuppgifter och garantera att de kan använda digitala id-lösningar på ett säkert sätt. Med tanke på de betrodda tjänsterna är målet att säkerställa lika förutsättningar att tillhandahålla och godkänna betrodda tjänster i medlemsstaterna.
3
Förslagets huvudsakliga innehåll
3.1
Lagstiftningsram för en europeisk digital identitet
En stor del av alla tjänster med anknytning till användningen av den digitala identiteten undantas för närvarande från eIDAS-förordningens tillämpningsområde. Enligt kommissionen kan bestämmelserna i den nuvarande förordningen inte längre tillgodose marknadens behov. I förslaget fastställs en gemensam lagstiftningsram för en europeisk digital e-identitetsplånbok (nedan e-identitetsplånbok). Syftet med e-identitetsplånboken är att göra det möjligt för användarna att använda sig av gränsöverskridande elektronisk identifiering både i e-tjänster och vid fysiska besök för att sköta ärenden. Avsikten är att e-identitetsplånboken ska kunna användas allmänt i samhällets tjänster inom såväl den offentliga som den privata sektorn. Enligt förslaget ska det också vara möjligt att använda e-identitetsplånboken till olika autentiserade personuppgifter och attesteringar av attribut. Med hjälp av e-identitetsplånboken ska användaren dessutom kunna använda kvalificerade elektroniska underskrifter, som godtas av olika organisationer och stater.
E-identitetsplånboken ska fungera som en del av systemet för elektronisk identifiering. Den kan utfärdas av såväl den offentliga som den privata sektorn. Antalet e-identitetsplånböcker har inte begränsats, men enligt förslaget ska varje medlemsstat tillhandahålla minst en e-identitetsplånbok i enlighet med förordningen. E-identitetsplånboken ska tillhandahållas medborgare, invånare och juridiska personer i medlemsstaten. Det handlar alltså om en slags skyldighet att tillhandahålla samhällsomfattande tjänster. eIDAS-förordningen har inte tidigare på motsvarande sätt ålagt medlemsstaterna att tillhandahålla ett system för elektronisk identifiering. Tidigare har medlemsstaterna själva kunnat överväga om de vill reglera de elektroniska identifieringstjänsterna och främja tillgången till identifieringsverktyg för medborgare, invånare och juridiska personer. Enligt förslaget ska användningen av e-identitetsplånboken vara frivillig för användaren. Användningen av e-identitetsplånboken ska vara avgiftsfri för fysiska personer, men av juridiska personer kan det vara möjligt att uppbära en avgift. En e-identitetsplånbok ska utfärdas inom 12 månader från förordningens ikraftträdande.
I Finland har hittills inte utarbetats några tjänster för stark elektronisk autentisering för juridiska personer. I praktiken använder fysiska personer sina personliga elektroniska identifieringsverktyg i tjänsterna när de utför rättshandlingar på en juridisk persons vägnar. Enligt förslaget ska en e-identitetsplånbok dock tillhandahållas också för juridiska personer.
E-identitetsplånboken ska ha gemensamma gränssnitt så att tjänsten kan användas på det sätt som beskrivs ovan. Gränssnittet ska tillhandahållas exempelvis för kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster, som utfärdar autentiserade personuppgifter eller attesteringar av attribut via e-identitetsplånboken. Dessutom ska gränssnittet enligt förslaget tillhandahållas för användande parter, det vill säga tillhandahållare av e-tjänster, så att de kan begära och validera personidentifieringsuppgifter och elektroniska attesteringar av attribut.
E-identitetsplånboken ska uppfylla de krav som fastställs för en hög tillitsnivå. Enligt förslaget ska e-identitetsplånbokens överensstämmelse med kraven alltså om så önskas kunna säkerställas med hjälp av den certifieringsram som ska inrättas som en del av genomförandet av bestämmelserna. Tillitsnivån beskriver den tekniska och organisatoriska graden av tillit till ett medel för elektronisk identifiering vid fastställande och påvisande av en persons identitet. Tillitsnivån beror på den grad av tillit medlet för elektronisk identifiering ger i fråga om en persons påstådda eller styrkta identitet. I artikel 8 i eIDAS-förordningen ingår tre olika tillitsnivåer: låg, väsentlig och hög. För närvarande ska verktyg för stark användarautentisering enligt finsk lag uppfylla kraven för minst väsentlig tillitsnivå. Med några få undantag uppfyller alla medel för stark användarautentisering som används i Finland kraven för hög tillitsnivå.
Enligt kommissionens förlag ska medlemsstaterna i samarbete med kommissionen utveckla en verktygslåda för genomförandet av ramen för en europeisk digital identitet (Toolbox). Denna verktygslåda ska omfatta ett heltäckande krav på tekniska strukturer och referenser, allmänna standarder, tekniskt referensmaterial samt riktlinjer och beskrivningar av bästa praxis för en e-identitetsplånbok. Verktygslådan ska täcka fyra delområden: tillhandahållande och utbyte av elektroniska personuppgifter, e-identitetsplånbokens funktion och säkerhet, användning av e-identitetsplånboken inklusive sammanställning av identifieringsuppgifterna samt hantering av e-identitetsplånboken. Kommissionen har gett en rekommendation om hur verktygslådan ska utarbetas i samarbete mellan medlemsstaterna, kommissionen och aktörer inom den privata sektorn. Verktygslådan ska beredas bland annat i en eIDAS expertgrupp med sakkunniga som utnämnts av medlemsstaterna. Avsikten är att bereda verktygslådan parallellt med arbetet med lagstiftningsförslaget.
3.2
Unik identifierare
Enligt förslaget ska medlemsstaterna möjliggöra unik identifiering i de fall då ett anmält medel för elektronisk identifiering eller en e-identitetsplånbok används till att identifiera användaren. Med unik identifiering avses i förslaget en process där personidentifieringsuppgifter matchas mot eller kopplas till ett befintligt konto som tillhör samma person (så kallad identity matching eller record matching). Medlemsstaterna ska inbegripa en unik och beständig identifierare i den minimiuppsättning av identifieringsuppgifter för en fysisk eller juridisk person som används i systemen för elektronisk identifiering. Detta ska gälla fall då identifiering av användaren föreskrivs enligt lagstiftning.
3.3
Elektroniska autentiserade personuppgifter och attribut
Till förordningens tillämpningsområde ska fogas en ny betrodd tjänst som möjliggör tillhandahållande av elektroniska autentiserade personuppgifter och attribut exempelvis i e-identitetsplånboken och via den för användande parter (enligt förordningen elektroniska attesteringar av attribut). Alla organisationer och enheter som samlar in, skapar och utfärdar elektroniska autentiserade personuppgifter och attesterade attribut, såsom examensbevis och licenser, ska framöver ha möjlighet att tillhandahålla registeruppgifter och intyg som en person behöver via en sådan betrodd tjänst – antingen så att organisationen själv producerar den betrodda tjänsten eller så att en tillhandahållare av betrodda tjänster förmedlar dessa autentiserade uppgifter. Exempelvis ska en tjänst som förmedlar elektroniska attesteringar av attribut (attributtjänst) kunna autentisera en universitetsexamen och tillhandahålla den som en del av personens e-identitetsplånbok för användning i olika e-tjänster. Tillhandahållare av dessa uppgifter kan kallas tillhandahållare av elektroniska attributtjänster. Enligt förslaget ska tillhandahållarna av elektroniska attributtjänster skapa det gränssnitt som behövs för att uppgifterna ska kunna användas i e-identitetsplånboken. Tillhandahållaren av e-identitetsplånboken ska för sin del skapa ett gränssnitt för att ta emot uppgifterna.
Personuppgifter och attribut som bekräftats på elektronisk väg ska behandlas på samma sätt som motsvarande versioner i pappersform. När autentiserade personuppgifter och attribut bygger på offentliga aktörers källor eller register, ska tjänsteleverantören ha möjlighet att kontrollera uppgifterna i den ursprungliga källan eller registret på elektronisk väg, antingen direkt eller med hjälp av nationellt kvalificerade tillhandahållare av förmedlingstjänster. Detta möjliggör exempelvis en gemensam tjänst för tillhandahållande av offentliga registeruppgifter och intyg. Med hänsyn till dataskyddet får tillhandahållare av elektroniska attributtjänster inte sammanföra personuppgifter som är kopplade till attributtjänsterna med personuppgifter som samlats in i samband med andra tjänster. Personuppgifterna som är kopplade till attributtjänsterna ska dessutom förvaras separat från andra uppgifter som innehas av tjänsteleverantören.
I en bilaga till förslaget till förordning fastställs de uppgifter och attribut som en tillhandahållare av attributtjänster minst ska ha möjlighet att kontrollera på elektronisk väg. Uppgifterna som kontrolleras ska enligt förslaget inkludera exempelvis adress, ålder och kön, men även uppgifter om examen, tillstånd och ekonomiska uppgifter. Enligt förslaget är förordningens syfte och mål delvis oklara. Det är oklart om förordningen innebär att den offentliga sektorn är skyldig att tillhandahålla dessa uppgifter till en person för användning som elektroniskt autentiserade uppgifter, tillhandahålla de uppgifter som avses i bilagan till tjänsteleverantörer för förmedling som elektroniskt autentiserade uppgifter eller möjliggöra kontroll av uppgifterna i den ursprungliga källan.
För den privata sektorn föreslås ingen skyldighet att digitalisera uppgifter och attribut på detta sätt. Attributtjänsterna kan ändå autentisera och förmedla uppgifter och attribut från såväl den offentliga som den privata sektorn.
3.4
Skyldighet att anmäla ett system för elektronisk identifiering och skyldighet att utfärda en e-identitetsplånbok
eIDAS-förordningen grundar sig på interoperabilitet och ömsesidigt erkännande. En nationell identifieringsmetod (producerad av den offentliga eller den privata sektorn) kan anmälas till EU:s kommission enligt eIDAS-förordningen. Det är redan nu möjligt att använda ett anmält system för elektronisk identifiering i andra medlemsstaters offentliga förvaltnings tjänster. Tekniskt genomförs detta genom medlemsstaternas tekniska nätverk (så kallade nationella noder).
Det har varit frivilligt att anmäla sina system, vilket har lett till att långt ifrån alla medlemsstater har anmält sitt eget identifieringsverktyg. Totalt 14 medlemsstater har anmält minst ett identifieringssystem till kommissionen. Finland har tills vidare inte anmält sitt eget identifieringssystem. Orsaken till detta är att nyttjandegraden för det medborgarcertifikat som staten tillhandahåller har varit låg. Inte heller tillhandahållarna av identifieringstjänster inom den privata sektorn, såsom banker eller teleoperatörer, har ansett anmälan vara nödvändig. I praktiken har eIDAS-förordningen inte haft eftersträvad betydelse på grund av att så få identifieringssystem har anmälts. Enligt förslaget till ändring av artikel 7, som innehåller bestämmelser om anmälan, ska medlemsstaterna i framtiden vara skyldiga att anmäla minst ett system för elektronisk identifiering enligt förordningen. Anmälan ska göras inom 12 månader från förordningens ikraftträdande.
Enligt definitionerna i förslaget ska också e-identitetsplånboken räknas som ett medel för elektronisk identifiering, det vill säga ett identifieringsverktyg, som utfärdas inom ramen för ett system för elektronisk identifiering. Medlemsstatens skyldighet att anmäla ett system för elektronisk identifiering kan alltså eventuellt uppfyllas genom att tillhandahålla medborgare och invånare en e-identitetsplånbok som uppfyller kraven och anmäla denna till kommissionen. På så sätt kan medlemsstaten med e-identitetsplånboken uppfylla både skyldigheten att tillhandahålla medborgarna en e-identitetsplånbok och skyldigheten att anmäla ett identifieringssystem. Medlemsstaten måste alltså inte nödvändigtvis utfärda en e-identitetsplånbok och dessutom anmäla andra system för elektronisk identifiering och identifieringsverktyg.
3.5
Skyldighet att godta e-identitetsplånböcker och anmälan av godtagandet av en e-identitetsplånbok i tjänsterna
I förordningen ska ingå bestämmelser som gränsöverskridande förtroende för e-identitetsplånböckerna. För att e-identitetsplånböckerna ska vara användbara och tillgängliga krävs enligt förslaget att de kan användas av en person till att identifiera sig i den offentliga och den privata sektorns e-tjänster samt vid fysiska besök för att sköta ärenden (online and offline authentication). Tidigare har eIDAS-förordningen gällt identifiering endast i den offentliga sektorns e-tjänster.
Enligt förslaget ska vissa branscher inom den privata sektorn i framtiden vara skyldiga att godta användningen av e-identitetsplånboken som en metod för att identifiera sig eller få tillgång till deras tjänster. En förteckning över branscherna ska ingå i den nya artikeln 12 b. Parterna ska vara skyldiga att godta e-identitetsplånboken ifall nationell rätt, EU:s lagstiftning eller avtalsförpliktelser kräver stark användarautentisering för att få åtkomst till tjänsterna som tillhandahålls av dessa branscher. Dessutom ska mycket stora onlineplattformar, exempelvis aktörer som Google och Facebook, enligt artikel 25.1 i EU:s framtida lag om digitala tjänster godta användningen av e-identitetsplånboken som ett identifieringsverktyg när plattformarna i allmänhet kräver autentisering av användare för få tillgång till tjänsterna.
Enligt förslaget ska leverantörer av e-tjänster också informera medlemsstaterna om sin avsikt att använda e-identitetsplånboken. Syftet med förfarandet är att säkerställa att e-tjänsterna är tillförlitliga och överensstämmer med unionslagstiftningen eller den nationella lagstiftningen. Avsikten är att skydda användarna från bedrägerier och förhindra olaglig användning av identitetsuppgifter och attribut. Medlemsstaterna ska införa en gemensam mekanism för att verifiera e-tjänsternas tillförlitlighet. Kommissionen har för avsikt att ge detaljer om kraven på denna mekanism i genomförandeförordningen för e-identitetsplånboken.
3.6
Certifiering av system för elektronisk identifiering
Syftet med förslaget är att göra förfarandet för anmälan av system för elektronisk identifiering smidigare. Numera ingår i förfarandet för anmälan nästan utan undantag en inbördes utvärdering av identifieringssystemet som ska anmälas, som görs av andra medlemsstater. Avsikten är att harmonisera kraven för att förebygga de utmaningar som medlemsstaternas olika metoder med anknytning till utvärderingen av systemen för elektronisk identifiering medför samt bidra till att bygga upp förtroendet mellan medlemsstaterna. Enligt förslaget ska medlemsstaterna i framtiden kunna använda sig av en certifieringsprocess för att påvisa att en e-identitetsplånbok överensstämmer med kraven, i stället för processen med inbördes utvärdering.
En medlemsstat ska kunna utse offentliga eller privata organ som kan ge en försäkran om överensstämmelse med kraven. Bestämmelsen ska dessutom ge medlemsstaterna möjlighet att använda ackrediterade organ för bedömning av överensstämmelse eller frivilliga certifieringssystem för it-säkerhet, såsom certifieringsorgan som inrättats i enlighet med den så kallade cybersäkerhetsakten (EU) 2019/881 samt deras rapporter och utvärderingar. I Finland finns det tills vidare inga organ som kan utfärda certifieringar enligt förslaget.
Som jämförelse kan nämnas att ackrediterade organ för bedömning av överensstämmelse ska användas för bedömning av betrodda tjänster. I samband med tillsynen har de europeiska tillsynsmyndigheterna observerat att metoderna som används av organen för bedömning och rapporteringens kvalitet varierar och att godkännandet av betrodda tjänster i praktiken kräver ytterligare utredningar av tillsynsmyndigheten. Enligt förslaget ska bedömningen harmoniseras, vilket mot bakgrund av tidigare erfarenheter kan understödjas. Angående bedömningstjänsterna kan konstateras att det i Finland inte finns några ackrediterade organ för bedömning av överensstämmelse. I Finland kan olika organ för bedömning användas flexibelt för bedömning av system för elektronisk identifiering med stöd av lagen om stark autentisering och betrodda elektroniska tjänster, bara det är möjligt att objektivt visa att de är oberoende och kompetenta.
3.7
Nya och expanderande elektroniska betrodda tjänster
Enligt förslaget ska fyra nya betrodda tjänster läggas till förordningens tillämpningsområde. Ovan i punkt 3.3 behandlades tillhandahållandet av elektroniska attribut, som läggs fram som en av de nya betrodda tjänsterna i förslaget. I övrigt föreslås för det första att elektronisk arkivering av elektroniska dokument läggs till förordningens tillämpningsområde. Många medlemsstater har redan slagit fast nationella krav och bestämmelser med anknytning till dessa tjänster. Enligt kommissionen är det viktigt att utarbeta harmoniserade bestämmelser på EU-nivå för att öka rättssäkerheten och förtroendet för dessa tjänster.
För det andra föreslås att hantering av anordningar för skapande av elektroniska underskrifter och stämplar på distans ska läggas till förordningens tillämpningsområde. Den nuvarande förordningen reglerar systemen för elektroniska underskrifter endast till en viss del. Bestämmelsens syfte är att säkerställa att alla nödvändiga delområden av skapandet av elektroniska underskrifter och stämplar regleras på ett enhetligt sätt inom EU.
För det tredje ska elektroniska liggare läggas till förordningens tillämpningsområde. Dessa tjänster kombinerar tidsstämpling av uppgifter och sekvensering av dessa med en bekräftelse om uppgifternas ursprung, på samma sätt som en elektronisk signatur. Tjänsterna möjliggör mer decentraliserade styrningsmodeller, som underlättar och effektiverar samarbetet mellan flera parter. Med hjälp av dem är det till exempel möjligt att skapa en tillförlitlig verifieringskedja för nyttigheters ursprung i gränsöverskridande handel, stärka skyddet av immateriella rättigheter samt lägga grunden till en självägd elektronisk identitet.
I förslaget utvidgas dessutom bestämmelserna om kvalificerade certifikat för autentisering av webbplatser. Webbläsare ska vara skyldiga att godta dessa certifikat, visa identitetsuppgifter som de innehåller på ett användarvänligt sätt och med vissa undantag säkerställa stöd och interoperabilitet.
I Finland har det hittills knappt tillhandahållits några kvalificerade betrodda tjänster. På Transport- och kommunikationsverkets förteckning över betrodda tjänsteleverantörer är Myndigheten för digitalisering och befolkningsdata den enda nationellt kvalificerade tillhandahållaren av betrodda tjänster. Myndigheten tillhandahåller signaturcertifikat för fysiska personer eller organisationer samt certifikat för webbplatsautentisering inom den offentliga och den privata sektorn. På marknaden tillhandahålls dock sådana betrodda tjänster som inte är kvalificerade i enlighet med bestämmelserna i eIDAS-förordningen. Förhoppningen är att även utbudet av kvalificerade betrodda tjänster ökar i framtiden.
3.8
Delegering av befogenheter
I förslaget till förordning ges kommissionen befogenhet att anta delegerade akter och genomförandeakter.
Enligt förslaget har kommissionen befogenhet att anta delegerade akter bland annat vad gäller de krav som ställs på organen som bedömer e-identitetsplånböckernas överenstämmelse med kraven (artikel 6c). Kommissionen ska också kunna anta delegerade akter vad gäller e-identitetsplånböckernas gränsöverskridande tillförlitlighet och skyldigheten att godta en e-identitetsplånbok som ett medel för stark användarautentisering (artikel 12b). Utöver skyldigheterna som fastställs i artikeln ska kommissionen också enligt punkt 5 i artikel 12b inom 18 månader från införandet av e-identitetsplånboken göra en bedömning av om ytterligare privata leverantörer av onlinetjänster ska få i uppdrag att godta användning av e-identitetsplånboken, baserat på en frivillig begäran från användaren. Kommissionen ska ges befogenhet att anta delegerade akter baserat på denna bedömning för att ändra kraven för erkännande av e-identitetsplånboken enligt artikeln i fråga. I samband med den fortsatta beredningen av förordningen bör befogenheten i fråga behandlas ytterligare med tanke på dess omfattning och avgränsning. Kommissionen ska ges befogenhet att anta delegerade akter även vad gäller de ytterligare åtgärder som en kvalificerad tillhandahållare av betrodda tjänster ska vidta för att hantera riskerna (artikel 24).
I förslaget till förordning ges kommissionen flera befogenheter att anta genomförandeakter. Kommissionen bör anta genomförandeakterna inom 6–12 månader från förordningens ikraftträdande. Genomförandeakterna antas enligt granskningsförfarandet i kommittologiförordningen (EU) 182/2011.
En del av kommissionens befogenheter att anta genomförandeakter hänför sig till bland annat standarder, tekniska och operativa specifikationer samt referensnummer (art. 6a, art. 6b, art. 6c, art. 20, art. 24, art. 28, art. 29a, art. 32, art. 34, art. 37, art. 38, art. 39a, art. 42, art. 44, art. 45, art. 45c, art. 45d, art. 45g, art. 45i). Kommissionen ska ha möjlighet att anta genomförandeakter om format och förfaranden för processerna med anknytning till förordningen (art. 6d, art. 21 art. 31). Kommissionen ska dessutom kunna anta genomförandeakter om specifika åtgärder med anknytning till säkerhetsincidenter som rör e-identitetsplånböckerna (art. 10a) eller unika identifierare (art. 11a).
Enligt förslaget till förordning ska kommissionen få anta genomförandeakter för att fastställa villkoren för när de krav som ett tredjeland tillämpar på tillhandahållare av betrodda tjänster kan anses likvärdiga med de krav som är tillämpliga på kvalificerade betrodda tjänster eller tillhandahållare av betrodda tjänster som är etablerade i unionen (art. 14). I detta avseende bör man i samband med den fortsatta beredningen av förordningen fästa uppmärksamhet vid avgränsningen av befogenheterna att anta genomförandeakter. Kommissionen ska också ha befogenhet att anta genomförandeakter om tillsynsmyndigheternas uppgifter (art. 17) och arrangemangen för att främja samarbete mellan tillsynsmyndigheter (art. 18). I samband med den fortsatta beredningen av förordningen är det viktigt att kontrollera om genomförandeakter är en ändamålsenlig metod för att fastställa tillsynsmyndighetens uppgifter.
3.9
Slutbestämmelser
Kommissionen ska se över tillämpningen av förordningen på nytt och rapportera om detta till Europaparlamentet och rådet inom 24 månader från förordningens ikraftträdande. Kommissionen ska i sin utvärdering överväga behovet av en ändring av förordningens tillämpningsområde eller av vissa bestämmelser utifrån erfarenheterna av tillämpningen av förordningen eller utvecklingen av tekniken, marknaden eller lagstiftningen. Dessutom ska kommissionen rapportera till Europaparlamentet och rådet vart fjärde år efter att ovan nämnda rapport lämnats in. Kommissionens rapport ska behandla vilka framsteg har gjorts i riktning mot målet.
Förordningen är direkt tillämplig i EU:s medlemsstater och den träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. Fastställda övergångsperioder gäller dock både elektroniska underskrifter och attesteringar av attribut. Anordningar för skapande av säkra elektroniska underskrifter, vars överensstämmelse med kraven har definierats i direktivet om elektroniska signaturer 1999/93/EG, kommer att betraktas som anordningar för skapande av kvalificerade elektroniska underskrifter enligt denna förordning i fyra år från förordningens ikraftträdande. Med stöd av direktiv 1999/93/EG betraktas kvalificerade signaturcertifikat som beviljats fysiska personer som kvalificerande enligt denna förordning i fyra år från förordningens ikraftträdande.
4
Förslagets rättsliga grund och relation till proportionalitets- och subsidiaritetsprinciperna
Förslagets rättsliga grund är artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Artikeln handlar om åtgärder i syfte att upprätta den inre marknaden och säkerställa dess funktion, och målet för artikeln är tillnärmning av medlemsstaternas nationella bestämmelser. Unionens domstol har i sin rättspraxis slagit fast att en rättsakt endast kan antas utifrån artikel 114 i EUF-fördraget, om det av rättsakten framgår och objektivt kan påvisas att den syftar till att förbättra villkoren för att upprätta den inre marknaden och få den att fungera. Kommissionen har valt denna rättsliga grund eftersom förslagets mål är att främja den digitala inre marknaden i EU och dess funktion. Enligt kommissionen använder gränsöverskridande offentliga och privata tjänster i allt högre grad digitala id-lösningar, vilket leder till att medborgarna inte nödvändigtvis har möjlighet att använda nätbaserade tjänster utan hinder och bevara sin integritet fullt ut i hela EU. Förslaget behandlas i enlighet med det ordinarie lagstiftningsförfarandet, där Europaparlamentet och rådet tillsammans godkänner förordningen. I rådet förutsätts beslut med kvalificerad majoritet.
Kommissionen anser att förslaget är förenligt med subsidiaritetsprincipen. Enligt kommissionen bör medborgare och företag kunna dra nytta av säkra digitala id-lösningar samt autentiserade personuppgifter och elektroniska attesteringar av attribut inom hela EU. Kommissionen anser att en lösning på EU-nivå ger de bästa förutsättningarna för detta. Om de olika medlemsstaterna tar fram sina egna lösningar blir det svårt att bygga upp gränsöverskridande verksamhet och det förtroende för andra medlemsstaters lösningar som krävs. På EU-nivå är det däremot möjligt att ställa gemensamma krav på lösningar som tryggar användarnas möjlighet att kontrollera sina egna personuppgifter och ger tillgång till gränsöverskridande e-tjänster. Med lösningar på EU-nivå är det också möjligt att bygga upp förtroendet för de digitala id-lösningarna ur tjänsteleverantörernas perspektiv. Med hjälp av gemensamma krav är det möjligt att bygga upp förtroendet för en annan medlemsstats digitala id-lösningar eller elektroniska intyg som beviljats av en annan medlemsstat. Lösningar som tagits fram av individuella medlemsstater skulle enligt kommissionen inte vara lika effektiva och verkningsfulla.
Enligt kommissionen är förslaget förenligt med proportionalitetsprincipen. Syftet med förslaget är att hantera de utmaningar och begränsningar som observerats i den nuvarande lagstiftningen för elektronisk identifiering som bygger på interoperabilitet och ömsesidigt erkännande. Förslaget anses vara proportionerligt med beaktande av de fastställda målen, eftersom målet är att skapa en lagstiftningsram som bygger på interoperabilitet för de europeiska digitala id-lösningarna. Grunden utgörs av de digitala identiteter som medlemsstaterna beviljat samt flödet av tillhörande personuppgifter enligt användarens önskemål. En gemensam lagstiftningsram bidrar också till utvecklingen av den digitala inre marknaden.
Enligt kommissionen är förslaget proportionerligt även med tanke på kostnaderna som uppkommer i medlemsstaterna exempelvis för arbetet med att ta fram e-identitetsplånböcker och göra dem tillgängliga för medborgarna. Kommissionen anser att det inte går att undvika kostnader om man vill nå målet för lösningarnas användbarhet och tillgänglighet. Emellertid beräknas kostnaderna uppvägas av de potentiella fördelarna med förslaget, eftersom dess syfte är att underlätta och öka användarnas och företagens verksamhet på den inre marknaden.
Statsrådet anser att kommissionens synpunkter på den rättsliga grunden och subsidiaritets- och proportionalitetsprinciperna i princip är lämpliga. En bedömning av hur proportionalitetsprincipen har beaktats bör dock göras medan förordningen behandlas, i synnerhet till den del innehållet i förslaget preciseras eller kräver förtydligande. Exempelvis medlemsstaternas offentliga sektors skyldigheter i fråga om elektroniskt autentiserade personuppgifter och attribut är delvis oklara i förslaget. Särskild uppmärksamhet ska också fästas vid delegerade akters och genomförandeakters roll i genomförandet av förslagen, samt vid deras omfattning och innehåll.
5
Förslagets konsekvenser
5.1
Kommissionens konsekvensbedömningar
Kommissionen har gjort konsekvensbedömningar av sitt förslag (Kommissionens konsekvensbedömningar). Förslaget bedöms ha positiva konsekvenser i synnerhet ur EU-medborgarnas synvinkel. E-identitetsplånboken ska ge användarna möjlighet att själv hantera användarens digitala identitet och digitala person- och identifieringsuppgifter i olika källor med anknytning till denna. Med e-identitetsplånboken ska användarna ha tillgång till den offentliga och den privata sektorns e-tjänster inom hela EU. De ekonomiska konsekvenserna av förslaget för medlemsstaterna beror i hög grad på om en medlemsstat själv utfärdar den e-identitetsplånbok som avses i bestämmelsen eller om medlemsstaten väljer att använda en e-identitetsplånbok som utfärdats av en annan medlemsstat. Användningen av e-identitetsplånboken ska i alla händelser vara avgiftsfri och frivillig för fysiska personer.
Enligt kommissionens bedömningar kan små och medelstora företag vara intresserade av att ta i bruk e-identitetsplånboken i sin affärsverksamhet. Enligt bedömningen kommer införandet av e-identitetsplånboken dock att medföra kostnader för företagen, eftersom vissa gränssnitt måste öppnas för att använda applikationen. Nyttan som användningen av e-identitetsplånboken ger med anknytning till effektivitet och förenklade processer kan enligt kommissionens bedömning vara större än kostnaderna. Vilken nytta som kan uppnås beror dock på typen av verksamhet. Lagstiftningen som föreslås kan också skapa nya affärsmöjligheter, i synnerhet för små och medelstora tillhandahållare av identitetstjänster och betrodda tjänster. För dessa företags del kan kostnaderna med anknytning till utvecklingsarbetet och certifieringen dock göra det svårare att komma in på marknaden.
Enligt kommissionens bedömning medför systemen för elektronisk identifiering konsekvenser med anknytning till medlemsstaternas nationella budgetar och förvaltning i stater där sådana system inte använts tidigare. Utöver kommissionens bedömning medför förordningen konsekvenser för Finland eftersom det i det finländska samhället redan finns ett fungerande system för elektronisk identifiering som huvudsakligen grundar sig på marknadsbaserad verksamhet. Anmälan av system för elektronisk identifiering medför också kostnader för medlemsstaterna. Enligt förslaget ska medlemsstaterna i framtiden vara skyldiga att anmäla systemen. Ytterligare kostnader för medlemsstaterna orsakas av utvecklingen och underhållet av e-identitetsplånboken ifall medlemsstaterna beslutar att själva utveckla och utfärda applikationen. Kommissionen beräknar att kostnaderna kan uppgå till cirka 10 miljoner euro. Konsekvenser och kostnader orsakas enligt beräkningen också av exempelvis den standardisering och certifiering samt de lagändringar som krävs, liksom av tillsynen över de nya betrodda tjänsterna. Kommissionens beräknade kostnader för införandet av e-identitetsplånboken kan anses underdimensionerade. Enligt det projekt för utveckling av en digital identitet som för närvarande bereds i Finland beräknas engångskostnaderna för genomförandet av ett e-identitetsplånboksprojekt som är mindre omfattande än kommissionens förslag uppgå till cirka 16 miljoner euro, medan de årliga kostnaderna beräknas uppgå till cirka 6 miljoner euro. Förslagets ekonomiska konsekvenser beskrivs mer detaljerat nedan.
Enligt kommissionens beräkningar kommer förslaget att främja innovationen och interoperabiliteten på den inre marknaden. Förslaget beräknas också inverka positivt på sysselsättningen. Förslaget stöder näthandeln och expansionen av affärsverksamheten samt avlägsnar vissa hinder på den inre marknaden. Förslaget beräknas också ha positiva effekter på medborgarnas engagemang. Lagstiftningen förväntas skapa en trygg och konkurrenskraftig grund för individens hantering av de digitala person- och identitetsuppgifterna.
Ur Finlands synvinkel behandlar kommissionens konsekvensbedömningar inte konsekvenserna i relation till den nuvarande lagstiftningen om stark användarautentisering och utifrån den konsekvenserna för aktörer på marknaden för elektronisk identifiering samt för tillhandahållare av digitala tjänster inom den privata sektorn. I framtiden ska effekterna bedömas särskilt inom de sektorer som blir tvungna att godta den e-identitetsplånbok som kommissionen föreslår som verktyg för elektronisk identifiering. Konsekvenserna ska preciseras när beredningen av kommissionens verktygslåda konkretiseras.
5.2
Ekonomiska konsekvenser
Förordningen ålägger medlemsstaterna att utfärda en e-identitetsplånbok enligt förslaget och att anmäla minst ett medel för stark användarautentisering. Hur medlemsstaterna uppfyller skyldigheten får avgöras på nationell nivå. I finansministeriets nationella projekt för utveckling av en digital identitet är målet att staten utfärdar en e-identitetsplånbok, med vilken medborgarna kan använda en digital identitet och anvisa eller överföra attesterade attribut till digitala tjänster.
Kostnaderna för genomförandet och driftskostnaderna för e-identitetsplånboken beräknas vara avsevärda. Engångskostnaderna för genomförandet av ett digitalt identitetsbevis i finansministeriets nationella projekt för utveckling av en digital identitet beräknas uppgå till mer än 16 miljoner euro och de årliga underhållskostnaderna till cirka 6 miljoner euro. E-identitetsplånboken enligt förslaget har dock ett betydligt större urval funktioner. Till följd av detta kommer kostnaderna för genomförandet och driftskostnaderna för e-identitetsplånboken förslaget enligt den aktuella beräkningen att vara betydligt högre än kostnaderna för genomförandet av den e-identitetsplånbok som planerats i det nationella projektet för utveckling av en digital identitet.
Införandet av e-identitetsplånboken kan kräva avsevärda investeringar i utveckling av gränssnitt av både aktörer som tillhandahåller uppgifter och aktörer som använder uppgifterna. Kostnader för införandet uppkommer också i de tjänster inom den privata sektorn som enligt förslaget ska åläggas att möjliggöra användning av e-identitetsplånboken vid identifiering i en e-tjänst. För den privata sektorns del kan kostnaderna för införandet av tjänsten bedömas närmare först när de tekniska kraven i förslaget preciserats.
Förslaget kommer sannolikt att avsevärt ändra på verksamhetskriterierna för den nuvarande miljön för stark användarautentisering. Dessutom är det viktigt att bedöma eventuella förändringar i affärsmöjligheterna för de befintliga aktörerna som använder stark användarautentisering. Förslaget kan ge vissa aktörer nya affärsmöjligheter, men också begränsa vissa aktörers möjligheter. De exakta konsekvenserna för de befintliga aktörerna inom det betrodda nätverket för stark användarautentisering kan bedömas först när förslaget preciserats. Bedömningen bör göras i samarbete med företagen. I förslaget eftersträvas gränsöverskridande elektronisk identifiering med två parallella metoder. I praktiken innebär detta att det nuvarande förfarandet för anmälan behålls med vissa ändringar. Dessutom inrättas en ny lagstiftningsram för e-identitetsplånboken. I Finland pågår också ett projekt för utveckling av en digital identitet, vars fokus är beredningen av en lösning på nationell nivå för att dra nytta av den digitala identiteten. Trots att lagstiftningsförslagets mål ligger i linje med det nationella projektets mål anses det viktigt att fästa uppmärksamhet vid att samordna arbetet på nationell nivå med beredningen inom EU, i syfte att undvika dubbla kostnader och överlappande utvecklingsarbete.
Med tanke på de ekonomiska konsekvenserna är det också viktigt att beakta potentiella kostnadsbesparingar, som kan uppnås genom att digitalisera processerna. Exempel på processer som kan digitaliseras är verifiering av utlänningars examen, som ofta görs manuellt, och etablering av en kundrelation, som kräver besök på ett bankkontor.
Utvecklingen av e-identitetsplånboken kan kräva resurser vid olika myndigheter. E-identitetsplånböckerna kan ha ekonomiska konsekvenser också för registreringsmyndigheter som producerar avgiftsbelagda informationstjänster.
Förslagen i förordningen kan också ha andra ekonomiska konsekvenser för bland annat myndigheter samt tillhandahållare av e-tjänster inom den offentliga och den privata sektorn. Antalet är svårt att bedöma i detta skede. Exempelvis tätare samarbete mellan medlemsstaterna, genomförande av pilotprojekt, inrättande av och tillsyn över bedömnings- och certifieringsorgan samt digitalisering av personuppgifter och attribut som tillhandahålls via e-identitetsplånboken och behandling av anmälningar från aktörer som använder e-identitetsplånboken kan ha ekonomiska konsekvenser. I förslaget har ingen bedömning gjorts av vilka kostnader öppnandet av datagränssnitten medför för registreringsmyndigheterna.
5.3
Lagstiftningsmässiga konsekvenser
Den föreslagna regleringsformen är förordning, så den utgör direkt tillämplig lagstiftning i Finland och kräver i princip ingen separat nationell tillämpning.
På nationell nivå regleras elektroniska identifieringstjänster och betrodda tjänster i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009). Lagstiftningen uppfyller kraven som fastställts i förordning (EU) 2015/1502 som kompletterar eIDAS-förordningen angående utbudet av elektroniska identifieringstjänster på tillitsnivåerna låg, väsentlig eller hög. Av de system för stark användarautentisering som används i Finland krävs minst samma tillitsnivå och informationssäkerhetskrav som enligt eIDAS-förordningen med tillhörande genomförandeakter krävs på väsentlig tillitsnivå för system för elektronisk identifiering över unionsgränserna. Man har alltså beslutat att harmonisera kraven på systemen för nationell stark användarautentisering med bestämmelserna i eIDAS-förordningen. Syftet är att göra det lättare för aktörer som utnyttjar stark användarautentisering i Finland att söka så kallad status som gränsöverskridande identifieringsverktyg för sina verktyg.
Eftersom kraven i den nationella lagstiftningen för närvarande är harmoniserade med kraven i eIDAS-förordningen ska också behoven av ändring av den nationella lagstiftningen på grund av förslaget ses över. För det första ska lagstiftningen ses över med tanke på om kraven enligt eIDAS-förordningen har ändrats, vilket kan leda till att också de nationella kraven bör ändras. För det andra ska man överväga om eIDAS-förordningen ställer nya krav på tillhandahållandet av tjänster. Särskilt viktigt är det att se över om kraven på e-identitetsplånböcker på nationell nivå ska samordnas med kraven som ställs på EUid-identitetsplånboken i eIDAS-förordningen. Det kan göra det lättare för aktörer som tillhandahåller e-identitetsplånböcker i Finland att söka status som EUid-identitetsplånbok för sin egen e-identitetsplånbok. Förordningen ålägger medlemsstaterna att utfärda en e-identitetsplånbok enligt förslaget och att anmäla minst ett medel för stark användarautentisering. Såsom konstateras ovan i avsnitt 5.2. får det avgöras på nationell nivå hur medlemsstaterna uppfyller skyldigheten. I finansministeriets nationella projekt för utveckling av en digital identitet är målet att utarbeta förslag till lagstiftning som gör det möjligt att skapa ett digitalt attribut samt använda det i samhällets tjänster för att bekräfta sin identitet och verifierade identitetsuppgifter. Syftet med projektet är att staten utfärdar en e-identitetsplånbok, med vilken medborgarna kan använda en digital identitet och anvisa eller överföra attesterade attribut till digitala tjänster.
Förslagets mål är bland annat att ge användare möjlighet att kontrollera hur deras personuppgifter används. I fråga om individens möjlighet att kontrollera sina uppgifter är det viktigt att klargöra i vilken mån en mer omfattande användning av myndighetsuppgifter än för närvarande i form av personuppgifter och attribut som bekräftats på elektronisk väg kräver lagändringar, i synnerhet med tanke på de särskilda bestämmelserna om informationshantering och informationslager. Dessutom ska en bedömning göras av i vilken mån bestämmelserna om personuppgifter och attribut som bekräftats på elektronisk väg ålägger myndigheterna att göra uppgifterna tillgängliga för användning med hjälp av en e-identitetsplånbok eller möjliggöra förmedling av uppgifterna via andra tillhandahållare av betrodda tjänster. Detta kan inverka på vilka uppgifter eller informationslager som omfattas av skyldigheten. Skyldigheterna i relation till den nationella lagstiftningen om handlingars offentlighet och informationshantering ska också bedömas.
Vidare är det nödvändigt att på nationell nivå granska om de godkända tjänsterna för identifieringsförmedling i den nationella lagstiftningen kan utnyttja möjligheterna i förslaget till förordning, till exempel som tillhandahållare av attributtjänster, när tjänsteleverantörerna också uppfyller kraven som ställs på betrodda tjänsteleverantörer (avsnitt 3.3.).
Förutsättningarna att inrätta och sköta tillsynen över certifieringsorgan ska också säkerställas i den nationella lagstiftningen. Uppkomsten av inhemska organ för bedömning av överensstämmelse och certifieringsorgan kan underlätta framväxten av tjänster.
Enligt förslaget ska kommissionen få flera nya befogenheter att anta delegerade akter och genomförandeakter. I och med att EU-lagstiftningen ändras bör också Transport- och kommunikationsverkets befogenheter och myndighetens bestämmelser omprövas.
5.4
Konsekvenser för myndigheterna
Enligt lagen om stark autentisering och betrodda elektroniska tjänster ska Transport- och kommunikationsverket vara tillsynsorgan enligt eIDAS-förordningen och sköta tillsynsorganets uppgifter enligt förordningen. Transport- och kommunikationsverket utövar också tillsyn över efterlevnaden lagen om stark autentisering och betrodda elektroniska tjänster. Förslaget inverkar alltså på myndighetens tillsynsuppgifter och kan utöka dem.
Godkännandet av och tillsynen över kvalificerade betrodda tjänster hör till den nationella tillsynsmyndigheten Transport- och kommunikationsverkets uppgifter. Kvalificerade betrodda tjänster kan anses ha stor betydelse som en del av genomförandet av e-identitetsplånböckerna. För närvarande är Myndigheten för digitalisering och befolkningsdata den enda nationellt kvalificerade tillhandahållaren av betrodda tjänster i Finland. Plånbokslösningarna kommer sannolikt att kräva att utbudet av kvalificerade betrodda tjänster utökas, så att nödvändiga kvalificerade betrodda tjänster kan utnyttjas i framtida e-plånböcker. En potentiell utökning av tjänsterna kan också utöka Transport- och kommunikationsverkets uppgifter.
Enligt 42a § 3 mom. i lagen om stark autentisering och betrodda elektroniska tjänster ingår också anmälan av system för elektronisk identifiering till Europeiska kommissionen i Transport- och kommunikationsverkets uppgifter. Transport- och kommunikationsverket har numera deltagit i processen med inbördes utvärdering, när andra medlemsstater har anmält sina egna identifieringsverktyg till kommissionen. Uppgifter såsom certifiering av e-identitetsplånböcker eller annan bedömning av överensstämmelse och inbördes utvärdering av system för elektronisk identifiering kan påverka Transport- och kommunikationsverkets arbete.
Behovet av myndighetssamordning och rådgivning ökar betydligt åtminstone i övergångsskedet, för att aktörer inom den offentliga och den privata sektorn ska få den information de behöver för att genomföra förändringarna och dra nytta av de möjligheter som förändringarna medför.
Enligt lagen om stark autentisering och betrodda elektroniska tjänster ankommer det på Myndigheten för digitalisering och befolkningsdata att upprätthålla den nationella noden. Noderna spelar en central roll med tanke på interoperabiliteten mellan medlemsstaternas system för elektronisk identifiering. Noden deltar i den gränsöverskridande identifieringen av personer. Dessutom kan den identifiera samt hantera eller överföra uppgifter till andra noder via ett gränssnitt med andra medlemsstaters system för elektronisk identifiering. Antalet identifieringstransaktioner som förmedlas via den nationella noden kan antas öka i takt med att antalet anmälda verktyg ökar.
Förslaget får konsekvenser också för myndigheternas registerföring och användningen av data, i synnerhet i tjänster inom den privata sektorn. Tillgången till eller utbytet av information mellan myndigheter förväntas inte få några betydande konsekvenser. Myndighetsregister ska i framtiden skapas och utvecklas med beaktande av möjligheten att delge information via en persons digitala plånbok. Detta är en betydande förändring jämfört med nuvarande praxis där myndigheter kontrollerar delgivningen av information. Enligt förslaget är det delvis oklart i vilken mån bestämmelserna om personuppgifter och attribut som bekräftats på elektronisk väg ålägger myndigheterna att göra uppgifterna tillgängliga för användning med en e-identitetsplånbok eller möjliggöra förmedling av uppgifterna via andra tillhandahållare av betrodda tjänster. I förslaget till förordning anges de delområden inom vilka uppgifter och attribut som den offentliga sektorn tillhandahåller ska kunna kontrolleras i den ursprungliga myndighetskällan.
Förslaget till förordning förväntas inte påverka hur medlemsstaterna identifierar personer, registrerar identitetsuppgifter eller i övrigt på ett tillförlitligt sätt kopplar uppgifter om identiteten till fysiska eller juridiska personer. I förordningen ingår bestämmelser om hanteringen av unika identifierare samt om medlemsstaternas skyldighet att säkerställa en unik identifierare i vissa situationer, men den tar inte ställning till beviljandet av identitetsuppgifter eller attribut i medlemsstaterna. Förslaget påverkar till exempel inte registreringen av personer i befolkningsdatasystemet eller beviljandet av nationella identitetshandlingar.
6
Förslaget i förhållande till grundlagen samt till de grundläggande och mänskliga rättigheterna
Förslaget inverkar på de grundläggande rättigheterna. Enligt kommissionen kommer förlaget till förordning att inverka positivt på skyddet av personuppgifter, eftersom det ger användaren av en e-identitetsplånbok möjlighet att kontrollera sina egna uppgifter och erbjuder alternativ för utlämnande av uppgifter i både den offentliga och den privata sektorns tjänster.
I Finland bör förslaget bedömas åtminstone med tanke på privatliv och skydd av personuppgifter (10 §), jämlikhet (6 §), näringsfrihet och rätt till arbete (18 §) samt rättsskydd och god förvaltning (21 §).
Privatliv och skydd av personuppgifter
Syftet med förordningen är att stödja individernas kontroll över sina egna personuppgifter. Med hjälp av en e-identitetsplånbok ska en användare i större utsträckning än för närvarande kunna kontrollera hur uppgifterna används inom både den offentliga och den privata sektorn. Därför är förslaget till förordning viktigt med tanke på privatlivet och skyddet av personuppgifterna enligt 10 § i grundlagen. Bestämmelserna är viktiga också med tanke på Europeiska unionens stadga om de grundläggande rättigheterna. I artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna tryggas skyddet för privatlivet och artikel 8 tillförsäkrar var och en rätt till skydd för personuppgifter. Enligt artikel 8 i Europeiska människorättskonventionen (FördrS 19/1990) har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Enligt Europadomstolens rättspraxis anses artikeln omfatta också skyddet av personuppgifter.
Förslaget sammanhänger med den allmänna dataskyddsförordningen (EU 2016/679). Personuppgifter ska behandlas enligt bestämmelserna i dataskyddsförordningen och i förslaget framhävs också principen för minimering av personuppgiftsbehandlingen. Med tanke på skyddet av personuppgifter förbättras skyddet och självbestämmanderätten i fråga om uppgifter då personen själv till viss del har ansvaret för behandlingen och kontrollen av uppgifterna. I förslaget till förordning fastställs också allmänna grunder för säker överföring och visning av attribut, som bidrar till skyddet av personuppgifterna. Enligt förslaget ska e-identitetsplånböckerna garantera säkerhetsnivå ”hög”, som är högsta möjliga säkerhetsnivå och därför ett säkert sätt för användaren att kontrollera sina egna uppgifter. Med hänsyn till dataskyddet får tillhandahållare av elektroniska attributtjänster inte sammanföra personuppgifter som är kopplade till attributtjänsterna med personuppgifter som samlats in i samband med andra tjänster. Personuppgifterna som är kopplade till attributtjänsterna ska dessutom förvaras separat från andra uppgifter som innehas av tjänsteleverantören.
Bestämmelserna medför en förbättring av nuläget i och med att de skapar säkra metoder för överföring och visning av autentiserade personuppgifter. Bestämmelserna i relation till dataskyddsförordningen bör emellertid bedömas på nytt medan förordningen behandlas, särskilt med beaktande av den rättsliga grunden för behandling av personuppgifter inom den offentliga sektorn och principen om ändamålsbundenhet.
Jämlikhet
Enligt 6 § 1 mom. i grundlagen är alla lika inför lagen. Bestämmelsen är en allmän jämlikhetsbestämmelse, som omfattar ett krav på likabehandling i liknande situationer och ett förbud mot godtycke. Den allmänna jämlikhetsbestämmelsen kompletteras av förbudet mot särbehandling i 2 mom. i samma paragraf. Enligt bestämmelsen får ingen särbehandlas på grund av kön, ålder, ursprung, språk, religion, övertygelse, åsikt, hälsotillstånd eller handikapp. Förteckningen över de förbjudna grunderna för särbehandling är dock inte uttömmande. Andra orsaker som anknyter till en person jämställs också med de förbjudna grunderna för särbehandling (RP 309/1993 rd, s. 47). Enligt diskrimineringslagen (1325/2014) får ingen diskrimineras på grund av ålder, ursprung, nationalitet, språk, religion, övertygelse, åsikt, politisk verksamhet, fackföreningsverksamhet, familjeförhållanden, hälsotillstånd, funktionsnedsättning, sexuell läggning eller någon annan omständighet som gäller den enskilde som person.
I förslaget till förordning förutsätts medlemsstaterna garantera alla lika tillgång till de digitala e-identitetsplånböckerna samt ge alla lika möjlighet att använda de egenskaper som produceras i e-tjänsterna. Enligt förslaget ska e-identitetsplånboken överensstämma med Europaparlamentets och rådets direktiv (EU 2019/882) om tillgänglighetskrav för produkter och tjänster, nedan tillgänglighetsdirektivet. I tillgänglighetsdirektivet förutsätts att produkter och tjänster som omfattas av direktivet beaktar rättigheterna och möjligheterna för personer med funktionsnedsättning att använda olika tjänster. Tillgänglighetskraven bidrar till den jämlikhet som tryggas i grundlagen.
Näringsfrihet och rätt till arbete
Enligt 18 § 1 mom. i grundlagen har var och en i enlighet med lag rätt att skaffa sig sin försörjning genom arbete, yrke eller näring som han eller hon valt fritt. Det allmänna ska sörja för skyddet av arbetskraften. I förslaget ställs krav på vissa aktörer inom den privata sektorn att godta e-identitetsplånboken som metod för stark användarautentisering i sin verksamhet. Enligt artikel 12 b i förslaget ska vissa branscher inom den privata sektorn i framtiden vara skyldiga att godta användningen av e-identitetsplånboken som en metod för att identifiera sig eller få tillgång till deras tjänster. Parterna ska vara skyldiga att godta e-identitetsplånboken ifall nationell rätt, EU:s lagstiftning eller avtalsförpliktelser kräver stark användarautentisering för att få åtkomst till tjänsterna som tillhandahålls av dessa branscher. Kommissionen ska också ges befogenhet att anta delegerade akter baserat på en bedömning, i syfte att ändra eller utvidga skyldigheterna.
Kraven i fråga innebär att man ingriper i den i grundlagen tryggade näringsfriheten. Syftet med undantagen som berör näringsfriheten är dock att främja den internationella marknadens funktion genom att skapa enhetliga krav på att producera e-identitetsplånböcker samt att beakta därtill hörande informationssäkerhets- och dataskyddskrav. Enligt kommissionens bedömning kommer införandet av ett standardbaserat system att minska osäkerheten för marknadsaktörerna, vilket förväntas ha en positiv inverkan på innovationen. Man kan anta att bestämmelserna i förslaget kommer att skapa nya möjligheter för marknadsaktörerna och stödja den ekonomiska tillväxten inom unionen. Under den fortsatta behandlingen av förslaget bör man dock säkerställa att kraven inte obefogat begränsar den privata sektorns näringsfrihet ur ett konstitutionellt perspektiv.
Rättsskydd och god förvaltning
Förslaget till förordning ska preciseras med tanke på det rättskydd och den garanti för god förvaltning som tryggas i 21 § i grundlagen. Till garantin för god förvaltning hör också den serviceprincip som fastställs i 7 § i förvaltningslagen. Enligt serviceprincipen ska möjligheterna att uträtta ärenden och behandlingen av ärenden hos en myndighet om möjligt ordnas så att den som vänder sig till förvaltningen får behörig service och att myndigheten kan sköta sin uppgift med gott resultat.
Syftet med förslaget till förordning är att främja användningen av elektronisk identifiering i offentliga digitala tjänster inom EU. EU:s medlemsstater är skyldiga i beskrivningen av information utifrån information som den tillhandahålla en e-identitetsplånbok som möjliggör gränsöverskridande tillgång till offentliga tjänster. Förordningen kan eventuellt påverka genomförandet av serviceprincipen och ordnandet av förvaltningen på ett sätt som främjar effektiviteten. Inverkan på genomförandet av god förvaltning bör bedömas på nytt i samband med den fortsatta behandlingen av förslaget.
7
Ålands behörighet
Enligt självstyrelselagen för Åland (1144/1991) har den gällande eIDAS-förordningen inte ansetts höra till Ålands lagstiftningsbehörighet. Enligt 18 § 22 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i fråga om näringsverksamhet med beaktande av vad som stadgas i 27 § 2, 10, 12, 40 och 41 punkten. Enligt 27 § 2 punkten har riket lagstiftningsbehörighet i fråga om utövande av yttrande-, förenings- och församlingsfriheten och brev-, telegraf- och telefonhemligheten. Dessutom har riket enligt 10 punkten lagstiftningsbehörighet i fråga om konsumentskydd, enligt 12 punkten i fråga om utrikeshandeln och enligt 40 punkten i fråga om televäsendet. Enligt 27 § 41 punkten har riket lagstiftningsbehörighet i fråga om andra privaträttsliga angelägenheter, om de inte direkt hänför sig till ett rättsområde som enligt denna lag hör till landskapets lagstiftningsbehörighet. Vid tolkningen av ordalydelsen av självstyrelselagen ska det noteras att informationsnät som internet inte kunde beaktas när självstyrelselagen stiftades (se GrUU 22/2001 rd). I alla fall har riket lagstiftningsbehörighet enligt 27 § 42 punkten i fråga om övriga angelägenheter som enligt grundsatserna i självstyrelselagen ska hänföras till rikets lagstiftningsbehörighet. Enligt statsrådets uppfattning hör de frågor som anges i förslaget till förordning i princip inte till landskapets lagstiftningsbehörighet.
Kommissionens förslag innefattar dock också vissa bestämmelser som ger anledning att Ålands ställning bör granskas noggrannare. Enligt 18 § 1 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i fråga om landskapsregeringen och under denna lydande myndigheter och inrättningar. Dessutom har landskapet enligt 4 punkten lagstiftningsbehörighet i fråga om kommunernas förvaltning. I lagstiftningskontrollen har det ansetts att offentligheten för handlingar som myndigheterna förfogar över och skyddet för personuppgifter som myndigheterna förfogar över är frågor som omfattas av landskapets lagstiftningsbehörighet.
Förslaget innefattar bestämmelser om att personuppgifter och intyg som bekräftats på elektronisk väg ska behandlas på samma sätt som motsvarande versioner i pappersform. Bestämmelserna rör bland annat när intyg som bekräftats på elektronisk väg ska ha samma rättsverkan som intyg som har utfärdats i pappersform i enlighet med lag. När bekräftade personuppgifter och intyg bygger på offentliga aktörers källor eller register, ska tjänsteleverantören ha möjlighet att kontrollera uppgifterna i den ursprungliga källan på elektronisk väg. Bestämmelserna om utlämnande av personuppgifter och intyg som bekräftats på elektronisk väg kan eventuellt även medföra skyldigheter för olika myndigheter i landskapet, beroende på innehållet i de avsedda uppgiftskategorierna och skyldigheterna. Föremålet för reglering är dock delvis oklart och innehållet i skyldigheterna för offentliga aktörer bör kontrolleras när förslaget till förordning behandlas.
Till den del bestämmelserna rör myndigheternas informationssystem, processer för informationshantering och återanvändning av data, inbegripet synpunkter på offentlighetsfrågan och skyddet för personuppgifter, hör de bestämmelser som avses i förordningen till landskapets lagstiftningsbehörighet. Till dessa delar bör förhållandet mellan förslaget och Ålands ställning ännu granskas vid behandlingen av förordningen när innehållet i förslaget blir mer precist.
8
Behandling av förslaget i Europeiska unionens organ och de övriga medlemsstaternas ståndpunkter
Behandlingen av förslaget till förordning i rådet inleddes den 17 juni 2021 med en presentation av kommissionens förslag vid ett möte för arbetsgruppen för telekommunikation och informationssamhället. Rådets ordförandeland Slovenien har för avsikt att lämna en lägesrapport om förslaget till förordning till rådet för transport och telekommunikation i december 2021.
Kommissionen har gjort upp en preliminär tidtabell för behandlingen och godkännandet av förslaget. Enligt tidtabellen ska lagstiftningsförslaget godkännas hösten 2022. Nästan samtidigt ska kommissionen också publicera de tekniska standarder och referensramar som bestämmelserna kräver. Dessa ska utarbetas parallellt med lagstiftningsförslaget i samarbete mellan kommissionen och medlemsstaterna. Redan innan lagstiftningsförslaget godkänns och de tekniska standarderna och referensramarna publiceras påbörjas pilotförsök som hänför sig till förslaget, exempelvis med anknytning till e-identitetsplånböckerna. Enligt planen släppas appar för de europeiska digitala e-identitetsplånböckerna på marknaden våren 2023. Medlemsstaterna ska ge användarna sina egna e-identitetsplånbokslösningar senast sommaren 2024.
Det behöriga parlamentsutskottet för förslaget är utskottet för industrifrågor, utrikeshandel, forskning och energi (ITRE). Förslagets rapportör är Romana Jerković.
De andra medlemsstaternas officiella ståndpunkter är ännu inte kända. Sverige publicerade sin preliminära ståndpunkt till förslaget den 7 juli 2021 (Faktapromemoria 2020/21:FPM118).
9
Nationell behandling av förslaget
I förordningen ingår bestämmelser som omfattas av både finansministeriets och kommunikationsministeriets förvaltningsområde. Dessutom ingår rättsverkningar inom justitieministeriets förvaltningsområde i bestämmelserna. Finansministeriet har det nationella ansvaret för att samordna beredningen av förordningen. Statsrådets skrivelse har beretts i samarbete mellan finansministeriet och kommunikationsministeriet. I samband med beredningen hördes Myndigheten för digitalisering och befolkningsdata samt Transport- och kommunikationsverket.
Förslaget och utkastet till U-skrivelse har behandlats genom ett skriftligt förfarande i sektionen för kommunikation (EU19), sektionen för konkurrenskraft (EU8), sektionen för finansiella tjänster och kapitalrörelser (EU10), sektionen för socialskyddsfrågor i anslutning till personers rörlighet (EU27) och utbildningssektionen (EU30) 5–11.8.2021.
Utkastet till U-skrivelse behandlades i EU-ministerutskottet 3.9.2021.
Skriftliga kommentarer om utkastet till U-skrivelse har dessutom begärts av Transport- och kommunikationsverkets eIDAS-intressentgrupper samt det betrodda nätverket för elektronisk identifiering 6–11.8.2021.
10
Andra faktorer som påverkar behandlingen
E 24/2020 rd Statsrådets utredning: Meddelande från kommissionen om EU:s digitala framtid, meddelande från kommissionen om en EU-strategi för data och kommissionens vitbok om artificiell intelligens
E 109/2020 rd Statsrådets utredning: Finlands föregripande inflytande inom EU – Översyn av eIDAS-förordningen
E 48/2021 rd Statsrådets utredning: Meddelande från kommissionen: Digital kompass 2030: den europeiska vägen in i det digitala decenniet
11
Statsrådets ståndpunkt
Statsrådet anser att kommissionens förslag till ändring av eIDAS-förordningen i allmänhet är viktig och stöder strävan att ytterligare förbättra de gränsöverskridande e-tjänsterna och affärsverksamheten mellan medlemsstaterna.
Statsrådet fäster uppmärksamhet vid att man inom EU de senaste åren har lagt fram eller för närvarande bereder flera lagförslag med anknytning till gränsöverskridande e-tjänster eller har betydelse med tanke på det förslag som nu lagts fram. Statsrådet anser att det är viktigt att den föreslagna lagstiftningen samordnas med övrig EU-lagstiftning. Särskild uppmärksamhet bör fästas vid bestämmelserna om skyddet av personuppgifter och det lagstiftningspaket som gäller den gemensamma digitala ingång (SDG) som nu verkställs. Det är viktigt att lagstiftningen utgör en sammanhängande helhet, utan exempelvis överlappande eller motstridiga skyldigheter för medlemsstaterna eller marknadsaktörerna. Statsrådet fäster också uppmärksamhet vid EU-lagstiftningens ömsesidiga beroende. Gränsöverskridande elektronisk identifiering och användning av elektroniska dokument är viktiga faktorer även med tanke på vissa andra EU-bestämmelsers verkställande och praktiska funktion. Det är också viktigt att främja det nordisk-baltiska e-ID-projektet (NOBID).
Statsrådet förhåller sig i princip positivt till förslaget att inrätta en rättslig ram för en e-identitetsplånbok för europeisk digital identitet. Det är viktigt att varje EU-medborgare, varje person som är bosatt i unionen och varje juridisk person med verksamhet i unionen har en faktisk möjlighet att tryggt använda e-tjänster oavsett om de tillhandahålls av den offentliga eller den privata sektorn, samt att kontrollera sina egna uppgifter. Det är viktigt att en rättslig ram inrättas så att lösningen säkerställer verklig tillgänglighet, även för personer som inte använder smarttelefon. Den rättsliga ramen för e-identitetsplånboken bör komplettera de nationella metoderna för identitetshantering, det vill säga grunda sig på den identitet som har registrerats på nationell nivå. Den rättsliga ramen bör också möjliggöra samarbete mellan aktörer inom den offentliga och den privata sektorn.
Statsrådet fäster uppmärksamhet vid att förslaget möjliggör e-identitetsplånböcker som utfärdats av såväl den offentliga som den privata sektorn. Hur en e-identitetsplånbok som uppfyller kraven ska tillhandahållas medborgare, invånare och juridiska personer i medlemsstaterna avgörs på nationell nivå. Det handlar om en principiellt viktig skyldighet som åläggs medlemsstaterna. På grund av denna skyldighet måste man i samband med den fortsatta beredningen särskilt beakta medlemsstaternas varierande beredskap att tillhandahålla en e-identitetsplånbok enligt kraven i förslaget. I Finland har man redan beslutat att inleda utvecklingsarbete med motsvarande mål. Statsrådet anser att basregistrens ställning som informationssamhällets grund är viktig. När e-identitetsplånböcker planeras och genomförs är det viktigt att eftersträva interoperabilitet med metoder för att använda information – både befintliga och under utveckling – på så sätt att de ekonomiska konsekvenserna beaktas. Till den rättsliga ramen som föreslås hänför sig ytterligare omständigheter som enligt statsrådet bör utredas i samband med den fortsatta beredningen.
Statsrådet kan stödja kravet på hög tillitsnivå för genomförandet av e-identitetsplånboken. En hög tillitsnivå förbättrar säkerheten och möjligheterna att använda olika tjänster. Enligt statsrådet är det dock viktigt att bedöma om det alltid är nödvändigt att kräva en hög tillitsnivå för plånbokslösningarna. Det vore viktigt att bedöma möjligheten att garantera tillräcklig säkerhet och tillförlitlighet i användningen med en väsentlig tillitsnivå för både individer och aktörer som använder e-identitetsplånboken. Statsrådet fäster också uppmärksamhet vid om kraven på en hög tillitsnivå kan uppnås för en mobilapplikation, med beaktande av den tidtabell som kommissionen föreslår.
Ur användarens synvinkel är det viktigt att e-identitetsplånboken kan användas i största möjliga utsträckning i samhällets tjänster. För användaren är det enklast om e-identitetsplånboken kan användas både i e-tjänster och vid fysiska besök för att sköta ärenden. Med tanke på ansvarsfrågorna är det ändå viktigt att utreda vilken rättslig betydelse e-identitetsplånboken och de personuppgifter som autentiseras med hjälp av den har vid fysiska besök. I samband med den fortsatta beredningen bör också klargöras förfarandet med anmälningar från aktörer som använder e-identitetsplånboken och exempelvis dess inverkan på myndighetens resurser och skyddet av personuppgifter, samt i synnerhet den administrativa bördan som anmälningarna medför för små och medelstora företag.
Statsrådet anser att det är viktigt att lagstiftningen också tryggar verksamhetsförutsättningarna för tillhandahållare av identifieringstjänster inom den privata sektorn samt möjliggör innovationer. Det är viktigt att lagstiftningen möjliggör anmälan till kommissionen av de system för elektronisk identifiering och e-identitetsplånböcker som den privata sektorn tillhandahåller, samt användningen av dessa för gränsöverskridande identifiering. Anmälan av system för elektronisk identifiering inom den privata sektorn bör också uppmuntras genom lagstiftning. Statsrådet anser det positivt att många av förändringarna i förslaget syftar till att främja dessa mål.
Statsrådet betonar att en mer detaljerad bedömning av förslagets konsekvenser både operativt och ekonomiskt ska göras när förslaget preciserats. Trots att det nationella betrodda nätverket inte grundar sig på EU-lagstiftning kan förslaget förväntas ha spridningseffekter som påverkar även det betrodda nätverkets affärsmöjligheter. Statsrådet anser det viktigt att beakta de ekonomiska konsekvenserna som sannolikt är betydande för den privata och den offentliga sektorn. Dessa konsekvenser är svåra att bedöma i detta skede.
Enligt statsrådet är det viktigt att trygga e-tjänster och e-handel får stöd i både den offentliga och den privata sektorns tjänster. Ur detta perspektiv kan det anses positivt att vissa aktörer inom den privata sektorn åläggs att godta en e-identitetsplånbok i sina tjänster. För användarnas del stöder detta e-identitetsplånbokens allmänna användbarhet i olika tjänster i samhället, samtidigt som det förbättrar tjänsternas säkerhet. Med tanke på e-tjänsterna inom den privata sektorn stärker lagstiftningen förtroendet för e-identitetsplånboken och de personuppgifter som autentiseras med hjälp av den. Statsrådet fäster uppmärksamhet vid förslagets förteckning över branscher som ska vara skyldiga att godta användningen av e-identitetsplånboken i sina tjänster. I samband med den fortsatta beredningen är det viktigt att se till att förteckningen över branscher är tydligt avgränsad, ändamålsenlig och fyller de praktiska behoven.
Statsrådet förhåller sig i princip positivt till förslaget att medlemsstaterna ska vara skyldiga att anmäla ett system för elektronisk identifiering till kommissionen. Statsrådet vill emellertid fästa uppmärksamhet vid att det i praktiken har varit svårt att få tillgång till de offentliga e-tjänsterna i en annan medlemsstat med det system för elektronisk identifiering som den andra medlemsstaten har anmält. Skyldigheten att anmäla ett system för elektronisk identifiering är inte i sig en lösning på de praktiska utmaningarna. Modellen möjliggör inte direkt användning av myndigheternas e-tjänster, eftersom de har byggts upp baserat den nationella identiteten (personbeteckningen). Statsrådet förhåller sig positivt till att villiga aktörer också i framtiden har möjlighet att anmäla sitt medel för elektronisk identifiering och på så sätt möjliggöra dess gränsöverskridande användning. Målet ska ändå vara att möjliggöra gränsöverskridande användning av tjänster i större utsträckning och mer effektivt än idag. I sammanhanget bör noteras att öppnandet av en gränsöverskridande tjänst kan medföra stora kostnader, eftersom det kräver ändringar av både datamodeller och informationssystem. Å andra sidan kan gränsöverskridande tjänster effektivisera förvaltningen och främja användarnas rättigheter.
Statsrådet anser att det är nödvändigt att skapa ett nytt alternativt förfarande för anmälan av system för elektronisk identifiering, certifiering, och förhåller sig positivt till möjligheten att använda certifiering till att påvisa att ett system för elektronisk identifiering överensstämmer med kraven. Certifieringen och tillhörande standardisering kan förbättra kravens konsekvens och förutsägbarhet, påskynda själva anmälan och minska den administrativa bördan med anknytning till anmälan. Möjligheten att använda certifieringsprocessen kan för sin del uppmuntra också tjänsteleverantörer inom den privata sektorn att anmäla sina system för elektronisk identifiering. Statsrådet anser att det är viktigt att klargöra frågor med anknytning till hur certifieringen fungerar och hur certifieringsorganen inrättas. På så sätt kan man säkerställa möjligheten att uppnå nytta med certifieringsprocessen i praktiken. I detta sammanhang bör särskild uppmärksamhet fästas vid certifieringstjänsternas tillgänglighet i medlemsstaterna och processens tillförlitlighet. Uppmärksamhet bör fästas vid att tillförlitligheten i de nationella systemen för elektronisk identifiering tidigare har bedömts av medlemsstaternas nationella myndigheter, vilket starkt bidrar till att skapa förtroende. I framtiden ska dessa bedömningar däremot göras av privata certifieringsorgan.
Statsrådet stöder förslaget att elektroniskt attesterade attribut ska läggas till förordningens tillämpningsområde. Statsrådet anser att det är viktigt att individen har möjlighet att dela och förmedla sina egna uppgifter i en digital miljö, det vill säga att det så kallade MyData-konceptet verkställs i Europa. En tillräcklig nivå på skyddet för personuppgifter och informationssäkerheten ska säkerställas i lagstiftningen. Statsrådet stöder också att de nya betrodda tjänsterna enligt förslaget ska läggas till förordningens tillämpningsområde. Kraven och kriterierna för elektroniska betrodda tjänster kan med fördel harmoniseras ytterligare, så att det i praktiken är möjligt att tillhandahålla tjänster på den inre marknaden. Bestämmelserna ska också vara förenliga med offentlighetsprincipen och lagstiftningen om handlingars offentlighet. Kriterierna kan harmoniseras exempelvis med hjälp av kommissionens genomförandeakter och standarder. I detta sammanhang är det dock viktigt att beakta behoven hos användarna av de betrodda tjänsterna och tillhandahållarna av betrodda tjänster på marknaden. Särskild uppmärksamhet ska dessutom fästas vid lagstiftningens tydlighet exempelvis i fråga om elektroniska signaturtjänster.
Statsrådet uppmärksamma att det i förslaget eftersträvas gränsöverskridande elektronisk identifiering med två parallella metoder. I praktiken innebär detta ändringar av det befintliga förfarandet för anmälan samt inrättande av en ny rättslig ram för e-identitetsplånboken. Enligt statsrådet är det också viktigt att observera att den valda utgångspunkten inte medföra dubbla kostnader och överlappande utvecklingsarbete i medlemsstaterna.
Statsrådet uppmärksammar kommissionens övergripande tidsplan för utvecklingen av e-identitetsplånboken. Statsrådet anser att det är viktigt att tillräckligt mycket tid reserveras för utveckling och genomförande av de åtgärder som förslaget kräver, för att säkerställa att de uppställda målen uppnås. Tidsplanen för behandlingen kan betraktas som ambitiös, exempelvis då avsikten är att fastställandet av e-identitetsplånbokens tekniska specifikationer och referensram ska påbörjas i samarbete med medlemsstaterna parallellt med behandlingen av lagförslaget. Uppmärksamhet bör också fästas vid att det i förslaget förutsätts att medlemsstaterna tillhandahåller en helt ny typ av tjänst avsedd för alla medborgare, invånare och juridiska personer. Andra viktiga frågor med anknytning till e-identitetsplånboken och dess användning har ännu inte definierats, såsom om avtalsbaserade eller lagstadgade verksamhetskoncept ska användas mellan e-identitetsplånboken, register, nya attributtjänster och aktörer som använder dessa (så kallat ekosystem).
Enligt förslaget har kommissionen flera befogenheter att anta genomförandeakter och delegerade akter. Statsrådet fäster uppmärksamhet vid att förordningen utgör ett regelverk vars omfattning det är möjligt att ändra med hjälp av delegerade akter och genomförandeakter. I samband med den fortsatta beredningen är det viktigt att se till att de befogenheter som kommissionen har är proportionerliga, ändamålsenliga, klara och tydligt avgränsade. Statsrådet fäster uppmärksamhet vid att delegerade befogenheter och genomförandebefogenheter ändå inte kan överföras till kommissionen när det gäller de väsentliga delarna i lagen.