Stark autentisering, elektroniska signaturer och kvalificerade certifikat
Stark autentisering, elektroniska signaturer och kvalificerade certifikat
Med stark autentisering avses elektronisk verifiering av identiteten hos en person. Genom stark autentisering kan identifieringsverktyget och verktygets användare alltid förknippas med personens verkliga identitet. Identifieringsverktyg som används vid stark autentisering är bankernas nätbankskoder, Befolkningsregistercentralens medborgarcertifikat och teleföretagens mobilcertifikat. Stark autentisering ger konsumenterna ett tryggt sätt att bekräfta sin identitet i olika elektroniska tjänster.
Med elektronisk signatur avses data i elektronisk form som är fogade eller logiskt knutna till andra elektroniska data och som används för verifiering av undertecknarens identitet. Det kan vara fråga om något så enkelt som att underteckna ett e-postmeddelande med personens namn. Med avancerad elektronisk signatur avses en sådan elektronisk signatur med vilken det är möjligt att identifiera undertecknaren och foga signaturen till data som signeras så att eventuella ändringar i data kan upptäckas.
Ett certifikat är ett intyg i elektronisk form signerat av en betrodd tredje part för att bevisa att en viss öppen nyckel hör till en viss användare av nyckeln. Med hjälp av certifikatet kan man verifiera identiteten eller verifiera identiteten och koppla ihop signaturverifieringsdata med en undertecknare. Utöver den öppna nyckeln innehåller certifikatet även andra uppgifter, såsom personens eller organisationens namn, datum för beviljat certifikat, certifikatets sista giltighetsdag eller ett individuellt serienummer. Om innehållet i kvalificerade certifikat och om certifikatutfärdarens verksamhet bestäms i lagen om stark autentisering och elektroniska signaturer.
Tjänsteleverantörer som tillhandahåller stark autentisering och certifikatutfärdare som tillhandahåller kvalificerade certifikat måste göra en anmälan till Kommunikationsverket innan verksamheten inleds. Kommunikationsverket för ett offentligt register över leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat. Kommunikationsverket övervakar att leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat iakttar de ålagda skyldigheterna.
Syftet med lagen är att skapa gemensamma spelregler när det gäller att tillhandahålla tjänster för stark autentisering. Samtidigt främjas tillhandahållandet av identifieringstjänster och användningen av elektroniska signaturer. Utgångspunkten i lagen är att användaren kan förlita sig på informationssäkerheten och integritetsskyddet hos stark autentisering.
Kommunikationsverket är också besvärsmyndighet i ärenden som hänför sig till verksamhet som bedrivs av leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat samt elektroniska signaturer som baserar sig på kvalificerade certifikat. Det är möjligt att anlita Kommunikationsverket om man misstänker att leverantören av identifieringstjänster agerar mot lagen om stark autentisering och elektroniska signaturer eller därtill relaterade föreskrifter.
Dataombudsmannen övervakar att bestämmelserna om personuppgifter i lagen om stark autentisering och elektroniska signaturer följs. Kommunikationsverket och dataombudsmannen samarbetar även med Finansinspektionen, Konkurrensverket och Konsumentverket.
