Arkiv för oktober 2011

Nu lanseras en e-legitimation till mobilen ”på riktigt” . Det är Swedbank, Sparbankerna och Skandia som är först ut att erbjuda ett mobilt bankid, oberoende av vilken mobil- eller ineternetleverantör som kunden har. Legitimationen finns i app-form till både Iphones, Android och surfplattor.

Den nya Mobila BankID:t ska ge samma säkerhet som identifiering och underskrift har i befintliga internetbanktjänster. Mobilt BankId har visserligen funnit sedan 2010 men krävde både särskilt avtal med mobiloperatören och ett specifikt SIM kort för att kunna användas.

Teknik, plattformar och specifikationer är på plats och det är fritt fram för e-tjänsteleverantörer att utveckla och anpassa sina tjänster till den nya lösningen. Såväl Swedbank, Skandia som Finansiell ID-teknik BID AB, som är leverantören bakom BankID hyser stora förhoppningar att det kommer kunna utvecklas och introduceras nya avancerade tjänster som ska förenkla våra digitala och mobila liv. Förutom internetbankerna kan Mobilt BankId i nuläget också användas för ett antal kommunala tjänster, bl.a. bygglovs-sajten mittbygge.se och ett 500 tal e-handelsplatser.

Tidigare i år gav sig också BGC in på e-legitimationsmarknaden och introducerade sin nya molntjänst: eID Gateway, en e-idväxel för e-tjänsteleverantörer och e-handlare som vill, behöver eller måste erbjuda sina kunder en säkrare identifieringsmetod. BGC:s nya molntjänst omfattar både identifiering och signering.

Enligt Finansiell ID teknik var antalet användare av e-legitimation 3, 8 miljoner (2010) och där BankID hade störst andel. Den genomsnittlige användaren år 2010 var i 30-årsåldern, hade använt sitt BankId ca 10 ggr och i första hand i Internetbanken, men också hos myndigheter, t.ex. Försäkringskassan och Skatteverket. Det sistnämnda är en faktor som sannolikt bidragit betydligt till användningen genom Skatteverkets digitalisering av den årliga deklarationen. Den förhoppningsfulla prognosen år 2010 var att i sltuet av 2011 skulle ca 4.5 miljoner personer vara användare av e-legitimation.

Dålig koll på avtalsvillkor, vad leverantörerna gör och det ansvar för behandlingen av personuppgifter som följer med PUL, sammanfattar Datainspektionen sin granskning av molntjänster.

Alltfler, inte bara privatpersoner utan också myndigheter och företag, använder sig av det allt större och ständigt växande utbudet av molntjänster. Datainspektionen, DI,  bestämde sig därför att genomföra ett granskningsprojekt i syfte att undersöka hur tjänsterna går ihop med kraven i Personuppgiftslagen, PUL. Resultatet presenterades nyligen av inspektionen, som konstaterar att användarna brister i såväl kunskap som i hur avtalen med personuppgiftsbiträden utformas.

DI har granskat två kommuner: Salem och Enköping samt företaget Brevo AB. För kommunerna gällde användningen Google Apps respektive gratisversionen av Dropbox. Brevo AB erbjuder en digital brevlåda som företag och myndigheter kan använda för att förmedla digitala brev.

De brister som Datainspektionen i olika omfattning påtalar hos alla de tre granskade handlar om personuppgiftsbiträdesavtalen, som antingen inte uppfyller PUL:s grundläggande bestämmelser eller helt eller delvis saknas. Inspektionen konstaterar också bristande kunskaper om vem/vilka företag som behandlar uppgifterna, hur behandlingen i själva verket går till och det ansvar som en personuppgiftsansvarig har för att uppgifterna behandlas säkert och inte i strid med Personuppgiftslagen.

DI konstaterar i granskningsbesluten att dagens dataskyddslagstiftning i vissa avseenden är svår att förena med molntjänsterna. PUL utgår från att det är den personuppgiftsansvarige som utövar kontrollen av det personuppgiftsbiträdet gör samt bestämmer och utformar avtalsvillkoren. Med dagens molntjänster är det leverantören, dvs. personuppgiftsbiträdet, som använder standardavtal och formulerar villkoren för den tillhandahållna tjänsten. Den personuppgiftsansvarige hamnar nu i en situation där denne måste granska och bedöma om leverantörens avtalsvillkor uppfyller bestämmelserna i PUL och att personuppgiftsbehandlingen är tillräckligt säker.

De granskade organisationerna föreläggs nu att se till att personuppgiftsbiträdesavtal tecknas och att avtalen säkerställer att PUL och svensk lagstiftning följs. Kommunerna måste se till att göra risk- och sårbarhetsanalyser för användningen av de molntjänster man använder. De måste också se över sina policies och instruktioner till de anställda så att det klart och tydligt framgår hur, när och i vilken omfattning tjänsterna ska/kan användas. Brevo AB föreläggs att se över sin tekniska lösning med Microsoft för att säkerställa att det går att utreda misstanke om obehörig åtkomst, om behovet skulle uppstå.

DI har tagit fram en särskild vägledning ”Molntjänster och personuppgiftslagen” med de krav som personuppgiftslagen ställer på det företag eller myndighet som vill använda en molntjänst.