Använd endast elektronisk identifiering när det är nödvändigt enligt lag
Myndigheterna kan kräva elektronisk identifiering av en användare av digitala tjänster endast
- om identifieringen behövs för att kontrollera personens rätt att använda tjänsten eller innehållet i den, eller
- om den åtgärd som användaren utför i tjänsten har rättsverkningar
Ägaren av den digitala tjänsten ska fastställa hur pålitlig identifieringsmetod som krävs för att använda tjänsten. Det ska fastställas i förhållande till hur konfidentiella de uppgifter är som behandlas i tjänsten riskerna för missbruk av uppgifterna. Myndigheten bedömer således när och hur en användare av en digital tjänst behöver identifieras.
Orsaker till identifiering kan vara
- att utreda och kontrollera att användaren har rätt att använda tjänsten
- situationer där åtgärder som vidtagits i tjänsten kan orsaka betydande rättsliga verkningar för de förmåner, rättigheter eller skyldigheter som hänför sig till en kund.
Användarna behöver inte identifieras aktivt i alla digitala tjänster eller för alla slags ärenden. Behovet av identifiering ska prövas och grundas från fall till fall för varje tjänst och varje funktion i tjänsten samt de relaterade riskerna.
Om användningen av identifiering har villkor fastställts för olika exempelfall:
- En myndighet kan inte kräva att någon identifierar sig för att komma åt tomma blanketter eller allmänt tillgänglig information.
- En handling som har kommit in till en myndighet behöver inte kompletteras med en underskrift, om handlingen innehåller uppgifter om avsändaren och det inte finns anledning att betvivla handlingens autenticitet.
- Identifiering kan krävas när det i en tjänst går att vidta betydande åtgärder som kan få avsevärda konsekvenser för en persons intressen, rättigheter och skyldigheter. Identifiering kan krävas exempelvis när kunden skickar information för hantering till en myndighet eller sparar uppgifter i myndighetens datalager.
- En myndighet kan kräva stark autentisering exempelvis när en användare i en tjänst kan se uppgifter om sig själv eller om en person som hen företräder med stöd av ett bemyndigande.
- Identifiering kan krävas i situationer då det i formulär i tjänsten automatiskt skapas uppgifter med utgångspunkt i de uppgifter om användaren som myndigheten har
- När det gäller ett tomt formulär kan man exempelvis kräva identifiering först när formuläret skickas. I praktiken motsvarar en sådan funktion en elektronisk underskrift och med identifieringen säkerställer man avsändarens identitet och försöker att förhindra missbruk vid användning av tjänsten.
- Identifiering kan krävas i anslutning till insamling och behandling av personuppgifter för att säkerställa uppgifternas ursprung, exakthet och integritet.
- Genom identifiering eller inloggning i tjänsten kan man också sträva efter att förhindra t.ex. överbelastningsattacker, men det får inte vara den enda grunden för kravet på elektronisk identifiering i en digital tjänst.