“SAML 2.0 negativ ur integritetssynpunkt”

E-legitimationsnämnden har aviserat att i kvartal 3/2012 kommer man att låsa sig för den föreslagna standarden SAML 2.0 i informationsbytet för e-leg mellan tjänsteleverantörer (av webb-tjänster), användare och identitetshanterare (e-leg-leverantörer som banker, Telia m.fl.). I samtliga tillämpningar som i nämndens regi har visats upp har man använt just SAML 2.0.

Vad är det för fel på SAML 2.0?

Enligt SAML måste identitetshanteraren få uppgift om webb-adressen till tjänsteleverantören. Detta innebär att e-leg-leverantörerna blir “storebröder” som känner till vilka tjänster en användare anlitar. Den tjänst en användare anlitar är en uppgift som direkt kan hänföras till användaren och som skyddas av Personuppgiftslagen (PUL, 3 §: “information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”). Om en användare t.ex. besöker en tjänst som utverkar bidrag av visst slag till dem som söker, skulle en sådan uppgift vara av intresse för en identitetshanterare – i synnerhet om det är en bank som användaren har lån hos. Intresse eller ej, det är inte vilken uppgift som helst. Såväl den franska motsvarigheten (CNIL) till Datainspektionen som den ansvariga för integritetsfrågor i EU-kommissionen liksom ett antal utredningar på EU-nivå betraktar besök på hemsidor (och därmed anlitande av webb-tjänster där användaren måste identifiera sig) som personuppgifter som skyddas av PULs europeiska motsvarighet Dataskyddsdirektivet. Användning av en standard som SAML i e-legitimationer är inte heller en tillfällig hantering utan kommer att tillämpas mer än hundra miljoner gånger per år.

Analog identitetshantering

I den analoga världen har Transportstyrelsen ingen aning om var, när och i vilken omfattning en person identifierar sig med sitt körkort. Då borde det självklart vara ett anständighetskrav att den digitala lösningen uppfyller minst samma integritetskrav.

Att kunna använda en alternativ identitetshanterare/e-leg-leverantör

Försvararna av SAML hävdar att man kan byta identitetshanterare, dvs om man inte godkänner att e-leg-leverantören har uppgifter om vilka tjänster man anlitar, kan man byta till någon annan e-leg-leverantör. Men alla e-leg-leverantörer i det föreslagna e-leg-protokollet SAML måste ha uppgifter om adressen till tjänsteleverantören, eftersom standarden har den utformningen. Det innebär att om man har sådana, mycket rimliga och PUL-stödda, krav kan man inte använda e-leg överhuvudtaget.

Identitetshanterarens uppgift om tjänsteleverantören är onödig information

Datainspektionen har utifrån PUL tagit fram en vägledning på sin hemsida under rubriken “Inbyggd integritet” där inspektionen skriver: “Några grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs”. Informationen hos identitetshanteraren om tjänsteleverantörens adress är ett exempel på sådan onödig information. Att information inhämtas för att den tekniska standarden kräver det men utan någon annan funktion än att stödja en specifik teknisk lösning kan inte på något sätt vara förenligt med PULs regler.

Kontakten från tjänsteleverantören till identitetshanteraren kan ske utan att identitetshanteraren har kännedom om tjänsteleverantören dels via en s.k. TTP (Third Trusted Party, t.ex. notarius publicus eller handelskammaren), dels genom en anonymiserad hash-kodsteknik eller dels genom att använda s.k. användarcentrerad (user-centric) identitetshantering. Den sistnämnda tekniken innebär att användaren själv styr sin identitetshantering och undviker att personkopplade uppgifter lagras i centrala servrar med risk för obehörig bearbetning. Det finns alltså flera alternativ till SAML 2.0, som tillgodoser Datainspektionens krav.

Det går inte heller att hävda att en standard visserligen kan innebära att personuppgifter samlas in men inte får bearbetas. Det skulle leda till att Datainspektionen tvingas till regelmässiga inspektioner av samtliga identitetshanterare för att inspektionen ska ha kontroll på att uppgifterna raderas och inte bearbetas. En sådan standard måste undvikas.

Vidare skriver Datainspektionen på sin webb-sida:

“Inbyggd integritet kan tillämpas på många områden, som till exempel när man tar fram nya standarder, … men denna vägledning riktar sig främst till de som är

– beställare/kravställare – de som i lagens mening är ansvariga för en behandling av personuppgifter och står i begrepp att införa ett arbetssätt eller ett IT-system för att stödja detta,

– leverantörer av sådana produkter och tjänster,

– på annat sätt involverade i framtagningen av IT-stöd för behandling av personuppgifter.”

Datainspektionens generaldirektör Göran Gräslund sitter med i E-legitimationsnämnden (beställarorganisationen för e-legitimation).

Vad säger Datainspektionen om e-leg och SAML?

I Ekonomistyrningsverkets regleringsbrev för Datainspektionen, budgetår 2012 står: “Datainspektionen ska upptäcka och förebygga hot mot den personliga integriteten.” I syfte att höra hur inspektionen ser på dessa frågor med särskilt fokus på SAML ställde jag följande fråga direkt till Göran Gräslund: “Varför vill inte Datainspektionen snarast ge sig till känna i frågan om tillämpningen av SAML?” Jag fick då följande svar: “Datainspektionen varken kan eller bör tala om vilken teknik som skall användas” och “för att frågor om den personliga integriteten ska tas med på ett bra sätt i utvecklingen av Svensk e-legitimation granskar Datainspektionen löpande hur förslagen överensstämmer med personuppgiftslagen”.

Min mening är att nu är det dags att Datainspektionen och E-legitimationsnämnden följer PUL och Datainspektionens vägledning “Inbyggd integritet” med avseende på tillämpningen av SAML!

Sammantaget vore det ytterst olyckligt från integritetssynpunkt om E-legitimationsnämnden beslutar att välja SAML-standarden för e-leg. Det skulle sannolikt innebära att Sverige går in i en återvändsgränd och förr eller senare får riva upp beslutet till kostnader av mångmiljonstorlek. Detta inte minst mot bakgrund av de tydliga signaler som kommer från EU-kommissionen beträffande den personliga integriteten.

Erik Mjöberg