Betänkandet Kompletterande bestämmelser till EU:s reviderade förordning om elektronisk identifiering

(SOU 2024:45)
Fi2024/01413

Myndigheten för digital förvaltning (Digg) föreslås få ett antal olika roller i relation till den europeiska digitala identitetsplånboken. Vid utövandet av dessa olika roller bör Digg ha i åtanke att inte agera på sätt som riskerar att hämma förutsättningarna för inträde och konkurrens avseende europeiska digitala identitetsplånböcker. Detta särskilt som de kommersiella förutsättningarna för identitetsplånböcker redan i utgångsläget är kringskurna varför det är viktigt att slå vakt om de förutsättningar till konkurrens som ändå kvarstår.

Under antagandet att Digg hanterar de potentiella rollkonflikterna ser Konkurrensverket att Digg är väl lämpat att tillhandahålla den europeiska digitala identitetsplånboken och tillstyrker förslaget.

Konkurrensverket tillstyrker förslaget att Post- och telestyrelsen (PTS) ska utöva tillsyn över europeiska digitala identitetsplånböcker samt tillhandahållare av sådana identitetsplånböcker.

Konkurrensverket har i uppdrag att verka för en effektiv konkurrens i privat och offentlig verksamhet samt en effektiv offentlig upphandling till nytta för det allmänna. Yttrandet avgränsas till sådana aspekter som följer av Konkurrensverkets ansvarsområden.

Det föreliggande slutbetänkandet fokuserar på tillhandahållande av europeiska digitala identitetsplånböcker. Utredningen lämnade även i ett delbetänkande förslag avseende utfärdande av en statlig e-legitimation. Konkurrensverket påtalade i sitt yttrande över det tidigare delbetänkandet bland annat risker för misstro från privata aktörer gentemot Digg om att den statliga e-legitimation Digg föreslogs utfärda skulle komma att gynnas av Digg i de andra roller myndigheten föreslogs få, att det fanns risker för sammanblandning av roller, risk för intressekonflikter samt att risker för korssubventionering skulle kunna uppstå.

Sedan slutbetänkandet överlämnades har regeringen, i budgetpropositionen för 2025, aviserat att ansvaret för utfärdande av en statlig e-legitimation emellertid inte kommer ges till Digg utan istället ges till Polismyndigheten. Konkurrensverket utgår i aktuellt yttrande från att Polismyndigheten ges ansvar för utfärdande av den statliga e-legitimationen. Konkurrensverket bedömer att för det fall att ansvaret för att utfärda den statliga e-legitimationen skulle ges till Digg så kompliceras Diggs olika roller, med ökad risk för intressekonflikter i förhållande till den europeiska digitala identitetsplånboken.

I föreliggande betänkande, som förvisso rör identitetsplånböcker men likväl har likheter och beröringspunkter med e-legitimationer, föreslås Digg få ett antal ytterligare roller, inte minst som konkurrensutsatt tillhandahållare av en europeisk digital identitetsplånbok. Konkurrensverket anser att de många roller Digg föreslås få i relation till identitetsplånböcker ger upphov till likartade risker som Konkurrensverket uttryckte i relation till e-legitimation.

I fråga om identitetsplånböcker är dock förutsättningarna inte desamma som för e-legitimation. En avgörande skillnad är att det, till skillnad från e-legitimation, inte förekommer några etablerade aktörer inom europeiska digitala identitetsplånböcker, vare sig privata eller statliga.

Det innebär att riskerna för att hämma en effektiv konkurrens ter sig annorlunda än för e-legitimation, i synnerhet som det i relation till europeiska digitala identitetsplånböcker initialt är troligt att en statlig tillhandahållare skulle vara ensam marknadsaktör i Sverige. En sådan aktör skulle kunna bli föremål för såväl reglerna om missbruk av dominerande ställning (2 kap. 7 § konkurrenslagen) som reglerna om konkurrensbegränsande offentlig säljverksamhet (3 kap. 27 § konkurrenslagen).

I betänkandet påtalas att det finns en osäkerhet kring privata aktörers intresse att tillhandahålla identitetsplånböcker. Det påtalas att det förekommer intresse från privata aktörer men också att det är osäkert om det finns några gångbara affärsmodeller för privat tillhandahållande av identitetsplånböcker.

Konkurrensverket tar fasta på de osäkerheter och begränsningar som föreligger avseende inträde av nya aktörer inom identitetsplånböcker.

Det är i dagsläget oklart under vilka förutsättningar en tillhandahållare kommer att behöva verka då genomförandeakter ännu inte fastställs.

Vidare finns påtagliga begränsningar och otydligheter rörande möjligheter till ersättning för tillhandahållande av identitetsplånböcker. Det föreligger en begränsning genom att utfärdandet, användningen och återkallandet av europeiska digitala identitetsplånböcker ska vara utan kostnad för fysiska personer. Möjlighet att finansieras genom ersättning från förlitande parter vid gränsöverskridande användning av identitetsplånböcker föreligger inte heller, vare sig i relation till identitetsplånböcker för fysiska eller juridiska personer. Det är heller inte klarlagt ifall ersättning per nyttjandetillfälle kommer att utgå i de fall identitetsplånböcker skulle användas för åtkomst till tjänster som omfattas av auktorisationssystem.

Sammantaget finns det enligt Konkurrensverket betydande osäkerheter kring de faktiska kommersiella förutsättningarna för en effektiv konkurrens att etableras på marknaden. Det kan dock inte uteslutas att det finns privata aktörer som har ett genuint intresse och förutsättningar att ta sig in på åtminstone delsegment av marknaden och att intäktsströmmar skulle kunna genereras genom till exempel anslutna tjänster som i sig bygger på tillhandahållandet av en egen identitetsplånbok. Även om det mot ovanstående kan förmodas att privat inträde på marknaden kan komma att dröja finns det enligt Konkurrensverkets bedömning fog för att slå vakt om att förutsättningarna för inträde inte i onödan begränsas och att de roller Digg föreslås erhålla inte leder till att incitamenten för privata aktörers tillhandahållande av identitetsplånböcker försvagas.

I det efterföljande följer Konkurrensverkets närmare bedömningar i relation till den struktur och de rubriker som används i betänkandet.

I betänkandet föreslås att den statliga myndighet som regeringen bestämmer ska tillhandahålla den europeiska digitala identitetsplånboken till fysiska och juridiska personer i enlighet med EU:s reviderade förordning om elektronisk identifiering. Utredningen bedömer i betänkandet att Digg är bäst lämpad för tillhandahållandet av den europeiska digitala identitetsplånboken till fysiska och juridiska personer.

I betänkandet föreslås att privata aktörer efter anmälan, granskning och godkännande även får tillhandahålla en certifierad europeisk digital identitetsplånbok.

För godkännande krävs att tillhandahållaren kan uppfylla villkoren för den europeiska digitala identitetsplånboken enligt den reviderade EU-förordningen och rättsakter som meddelats i anslutning till förordningen samt kraven i lagen med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering och föreskrifter som meddelats med stöd av lagen.

Ansvarig för granskning och godkännande ska vara den myndighet som av regeringen utsetts som tillhandahållare av den europeiska digitala identitetsplånboken. Den tillhandahållande myndigheten ska underrätta tillsynsmyndigheten över tillhandahållare av den europeiska digitala identitetsplånboken om det finns anledning att anta att villkoren för ett godkännande inte längre är uppfyllda.

Regeringen eller den myndighet som regeringen bestämmer ska meddela föreskrifter om anmälnings- och granskningsförfarandet och de villkor som ska gälla för ett godkännande som tillhandahållare av den europeiska digitala identitetsplånboken.

För tillhandahållande av den europeiska digitala identitetsplånboken till juridiska personer får en avgift tas ut av den tillhandahållande myndigheten.

Konkurrensverket anser att betänkandet på ett övertygande sätt redogör för varför en statlig myndighet är lämpad att tillhandahålla en europeisk digital identitetsplånbok. Den begränsade tidsramen till dess att Sverige ska kunna säkerställa tillhandahållande av minst en identitetsplånbok jämte de osäkra förutsättningarna att privata aktörer kommer tillhandahålla identitetsplånböcker är starkt vägande skäl. Konkurrensverket tillstyrker att Digg får i uppdrag att tillhandahålla en europeisk digital identitetsplånbok för fysiska och juridiska personer.

Konkurrensverket tillstyrker även förslaget att privata aktörer efter godkännande av Digg ska ges möjlighet att tillhandahålla identitetsplånböcker.

Konkurrensverket har, mot den beskrivning som ges i betänkandet om de begränsningar i fråga om inflytande som föreligger för Digg i deras anmälnings- och granskningsroll i relation till motsvarande roll för e-legitimation, inget att invända mot att Digg uppdras att ta emot anmälningar, granska och godkänna privata aktörer som önskar tillhandahålla identitetsplånböcker. Konkurrensverket vill här påtala vikten av transparenta, konkurrensneutrala och objektiva grunder för hur Digg hanterar och bedömer anmälningar för att inte rucka på marknadens förtroende om en objektiv hantering av anmälningar och tilltro till att intressekonflikter inte påverkar Diggs avvägningar.

Konkurrensverket tillstyrker att en avgift får tas ut från juridiska personer för tillhandahållandet av identitetsplånböcker. Att en avgift får tas ut i detta avseende kan i sig vara en grundläggande förutsättning för att överhuvudtaget möjliggöra för privata aktörer att erbjuda identitetsplånböcker på kommersiella grunder, givet de begränsningar som i övrigt föreligger för att kunna få ersättning vid tillhandahållande av identitetsplånböcker. Att även den tillhandahållande myndigheten ges möjlighet att ta ut en avgift motverkar bildandet av en ojämn spelplan mellan Digg och potentiella framtida konkurrenter inom tillhandahållande av europeiska digitala identitetsplånböcker och stärker incitamenten för inträde på marknaden.

I betänkandet föreslås att de statliga myndigheter som regeringen bestämmer ska tillhandahålla elektroniska attesteringar av sådana uppgifter för personidentifiering för fysiska och juridiska personer (PID respektive LPID) som förutsätts för att en europeisk digital identitetsplånbok ska kunna användas som medel för elektronisk identifiering. Vid tillhandahållande av uppgifter för personidentifiering till juridiska personer föreslås att en avgift får tas ut av den myndighet som tillhandahåller sådana uppgifter.

I betänkandet redogörs för att såväl Polismyndigheten som Skatteverket skulle kunna vara lämpliga att tillhandahålla PID till europeiska digitala identitetsplån-böcker, då dessa myndigheter i dag har egen tillgång till de uppgifter som är nödvändiga för att tillhandahålla PID för fysiska personer.

I delbetänkandet En säker och tillgänglig statlig e-legitimation (SOU 2023:61) föreslog utredningen att Digg ges en roll avseende statlig e-legitimation, och därmed skulle ges egentillgång till de uppgifter som är nödvändiga, som möjliggör att Digg kan samhantera utfärdande av den statliga e-legitimationen och tillhandahållande av PID för fysiska personer. Även om förslaget i delbetänkandet inte genomförs kan dock Digg ges direktåtkomst till uppgift om bl.a. person- och samordningsnummer, namn, adress och avregistrering från folkbokföringen.

I betänkandet uppges att möjligheten som medges för tillhandahållaren av identitetsplånboken att också tillhandahålla PID talar för att det bör vara en och samma myndighet som ansvarar för uppgifterna och att förslaget därför är att Digg är mest lämplig att tillhandahålla PID.

I relation till tillhandahållande av PID ges inga möjligheter att erhålla betalning för tillhandahållandet. Vidare ska även kostnadsfria valideringsmekanismer tillhandahållas, där Digg även antas komma att ansvara för att bereda möjligheter att validera PID, se avsnitt 6.3.5–6.3.6. Att Digg synbart inte ges möjlighet till intäkter från tillhandahållandet av PID talar för att sannolikheten är låg att Diggs tillhandahållande av PID skulle hämma förutsättningar för potentiella konkurrenter att verka på marknaden. Digg kan däremot erhålla utökade anslag för att kunna tillhandahålla PID, vilket kan ge upphov till viss farhåga för korssubventionering av den konkurrensutsatta verksamheten att tillhandahålla en identitetsplånbok.

Digg ges genom betänkandets olika förslag ett antal olika roller i relation till identitetsplånböcker. Även om det i sig kan finnas fog för att samordna tillhandahållande av olika delar av systemet för identitetsplånböcker mot bakgrund av kostnadseffektivitet, klargör betänkandet i relation till tillhandahållande av PID att även Skatteverket och Polismyndigheten är lämpade för sådant tillhandahål-lande. Konkurrensverket bedömer att det finns skäl att försöka tillse att mängden uppdrag som faller på en enskild myndighet begränsas för att inte riskera att skapa roll- eller intressekonflikter.

I betänkandet föreslås att den myndighet regeringen bestämmer ska tillhandahålla kostnadsfria valideringsmekanismer som

1. säkerställer att europeiska digitala identitetsplånböckers äkthet och giltighet kan kontrolleras
2. gör det möjligt för användare av europeiska digitala identitetsplånböcker att kontrollera äkthet och giltighet för identiteten hos de förlitande parter som registrerats

I betänkandet föreslås att den tillhandahållande myndigheten (Digg) respektive tillsynsmyndigheten (PTS) är lämpade att tillhandahålla valideringsmekanismerna.
Konkurrensverket har inget att invända mot förslagen.

I betänkandet föreslås att tillhandahållare av den europeiska digitala identitetsplånboken, tillhandahållaren av registret över förlitande parter och tillhandahållare av uppgifter för personidentifiering – som en del av tillhandahållandet – ansvarar för att möjliggöra validering av det som tillhandahålls.

Konkurrensverket har inget att invända mot förslagen.

I betänkandet föreslås Försvarets materielverk som bäst lämpad att ansvara för att utse organ för certifiering av europeiska digitala identitetsplånböcker och system för elektronisk identifiering i Sverige. Digg föreslås som bäst lämpad att ta fram en eventuell nationell certifieringsordning med krav som inte omfattas av kraven i cybersäkerhetsakten.

Konkurrensverket noterar att Digg pekas ut i ytterligare en roll, även om det i betänkandet framgår att det är osannolikt att rollen kommer få någon betydande praktisk betydelse.

Konkurrensverket har i övrigt inga synpunkter på förslagen i detta avsnitt.

I betänkandet föreslås att PTS är den myndighet som är bäst lämpad att utöva tillsyn över europeiska digitala identitetsplånböcker och tillhandahållare av sådana identitetsplånböcker.

I betänkandet redogörs för att även Digg skulle kunna utöva tillsyn över identitetsplånböcker, men att det, till följd av att Digg föreslås tillhandahålla den europeiska digitala identitetsplånboken, inte är någon lämplig ordning. Konkurrensverket delar betänkandets bedömning i detta avseende och tillstyrker att PTS utses till den myndighet som ska utöva tillsyn över den europeiska digitala identitetsplånboken.

I betänkandet uppges att det finns behov av en mer omfattande tillsynsstruktur över e-legitimationer i Sverige. Hur en sådan tillsyn ska vara utformad bör utredas i särskild ordning.

Konkurrensverket delar betänkandets uppfattning och tillstyrker att tillsynsstrukturen över e-legitimationer i Sverige utreds.